 |
 |
遠隔地からサーバの操作を行うリモートコントロールのソフトウェアがあります。
主にWindowsで使用される場合が多いでしょう。
なぜなら、UNIXシステムであれば、X Window Systemをインストールしないまたは停止させコマンドラインからほぼ全ての操作を行うことができます。
しかし、Windowsでは、コマンドラインで操作できるものはOSの持つ機能だけに留まる場合がほとんどです。
言い換えるならば、Windowsではサーバのコンソールを操作することによって、ほとんど全てのことが行えるということになります。
つまり、リモートコントロールのソフトウェアを悪用すると、攻撃の手法として利用可能となるのです。
|
|
|
リモートコントロールのソフトウェアからは、
一般に市販されている製品を連想します。
このセッションを乗っ取るという方法が第一に考えられます。
もちろん、この方法もリモートコントロールによる攻撃手法の一つです。
それでは、リモートコントロールのソフトウェアをインストールしないという対策だけを考えてしまいがちです。
しかし、リモートコントロールのソフトウェアにはバックドアやトロイの木馬に含まれるものもあります。
つまり、単純に操作が行えるということだけでなく、
気づかない間にリモートコントロールのソフトウェアをインストールしてしまっている場合があるのです。
これらのソフトウェアは、
Windowsのタスクマネージャなどではプロセスが表示されない場合があり、
場合によってはプロセス名を変更する等が行われるため、
プロセス名による判別は困難です。
リモートコントロールのソフトウェアがインストールされると、
主に次のような操作を行うことができます。
この他にもリモートコントロールのためのソフトウェアによって様々な機能が実装されています。さらには、リモートコントロールを行うときに通信経路を暗号化しネットワークを監視しても判らないようにするものもあります。
おそらく、ほとんど全ての操作が行えるであろうソフトウェアも存在します。
これらの多くは、サーバモジュールとクライアントモジュールに分かれています。
これらは、対象となるサーバに対して常駐させる必要がありますが、
どのように行うのでしょうか。
これは、「バックドアやトロイの木馬に含まれる」とした点から考えると判りやすいでしょう。メールの添付やWebからのダウンロードなどによって、対象となるサーバに送り込みます。もちろん、直接侵入する方法もあります。
攻撃側は、あるゆる手段を使用して対象となるサーバにモジュールを潜り込ませ、
リモートコントロールを行うように仕掛けるのです。
リモートコントロールのモジュールを探すのは非常に難しい作業になります。
市販のウィルス検査プログラムには、これらのモジュールをウィルスの一つとして考え、既知のモジュールに関しては警告を出します。
リモートコントロールのモジュールを入れられないようにするためには、
ウィルス検査プログラムを導入する等が必要です。
Copyright(C) 2001 Information-technology Promotion Agency, Japan. All rights reserved.