では、実際の侵入はどのように行われるのでしょうか。
侵入行為は4つのプロセスをもっています。
(1)事前調査
(2)権限奪取
(3)攻撃行動
(4)撤収処理
(3)は既にサーバ内部に侵入された後の行動であり、(4)は撤収の際にアクセスログの証拠を消す作業です。(3)を実現するための(1)と(2)の作業を防御すれば侵入は起こりません。
(1)事前調査
ターゲットのサーバを決めたクラッカは、このサーバの情報を収集します。
�WHOIS、DNS情報調査
WHOIS、DNS情報を見て、ホスト名、IPアドレスレンジ、そのサーバの管理組織、管理者の氏名、住所、電話番号、メールアドレス等を収集します。産業スパイなどが、サーバの設置されたロケーションに物理的な侵入を試みる場合には、この情報を見てデータセンタの場所を見つけます。また、セキュリティの甘い会社の場合、管理者のメールパスワードが本人の名前や会社名になっているケースが多いので、クラッカはこうした登録情報をランダムに入力する作業を行います。
参考:JPNIC Whois Gateway/
http://whois.nic.ad.jp/cgi-bin/whois_gw
*WHOIS、DNS登録情報:ドメイン名(例:ipa.go.jp)を取得する際に登録される所有者情報などのこと。WHOIS情報サイトを通し、世界中から閲覧することが可能になる。
�ポートスキャン
詳しい内容は後記しますが、ここでも触れておきます。
ポートスキャンとは、ターゲットになるサーバがどんなサービス(機能)を稼動させているかを探る調査です。サーバはその役割によって、様々なサービスを提供しています。
たとえばWebサーバでホームページを公開していれば、httpサービスが稼動しています。httpサービスが稼動しているのならば、サーバにファイルをアップロードしなければなりませんから、ftpサービスも稼動しているでしょう。このサーバをポートスキャンした場合、httpサービスの窓口になっている80番ポートと、ftpの21番が反応を返してきます。
ポートは1番〜65535番までありますが、通常使用されるサービスはポート番号が決まっており、ポートスキャンをした際、反応が返ってくるポートの番号を見れば、そのサーバでどんなサービスが稼動しているか分かります。
サービスは元来必要な機能としてサーバに搭載されていますが、中にはインターネットに公開すると、不正アクセスの入口になってしまうサービスも存在します。クラッカはそれを探し出すためにポートスキャンを行っているのです。
クラッカが最もよく狙うポートは23番のtelnetや111番のrpcです。いずれも管理者権限奪取を許してしまう脆弱性をもっており、これを使われるとサーバを自由に操られてしまう危険性があります。
*telnet:TCP/IPネットワークに繋がれたサーバや端末機材を遠隔操作するためのプロトコルのこと。
*rpc:Remote Procedure Callといい、分散コンピューティングのための技術で、同一ネットワーク上で異なる機材で処理を行うためのプロトコルのこと。
(2)権限奪取
権限奪取の代表的な作業はパスワードクラッキングです。盗聴によるパスワード奪取等もこれにあたります。また、前記のポートスキャンで見つかるサービスの中には、ドライブのファイル情報を抜き出せるものがあるので、これらを操作してアクセス権を書き換えてしまう方法もあります。
また、IISやApacheのバージョンによっては、バッファオーバーフローを仕掛けられると、管理者権限を奪取されてしまう深刻なセキュリティホールがあり、 これを放置するとホームページ改ざん事故原因の1つになります。
認証さえパスしてしまえば、ディバイスなどの操作やデータ処理を行うことができるようになります。
*IIS:Internet Information Services(元Internet Information Server)という、Microsoft社のインターネットサーバソフトウエアのこと。
*Apache:HTTPサーバ(Webサーバ)ソフトウエアで、UNIX系OSやWindowsで動作する。フリーウエアとして配布されている。
*バッファオーバーフロー(buffer over-flow):プログラムの確保したメモリサイズを越えた文字列を入力されると、メモリ領域が溢れてプログラムが予期しない動作をする場合がある。これを悪用した管理者権限奪取などのクラッキング行為をいう。バッファーオーバーラン(buffer
over run)ともいう。
(3)攻撃行動
侵入を許せば、次にクラッカは自分の興味や目的を実行します。
クラッカに侵入されれば、システムをめちゃくちゃにされてしまうイメージが強いですが、通例、侵入に成功したクラッカは大変に静かで、いかに侵入していることを管理者に悟られずにシステムを使い続けるかに注力します。
サーバの侵入に成功すれば、そこへ繋がっているクライアント端末への侵入もそれほど難しくありません。また、ファイルを閲覧したり、通信を盗聴したりすれば、さらに違う場所へ侵入するためのIDやパスワードを奪取できます。
または前記した踏み台として、有名サイトへの新たな侵入に使用するかもしれません。
つまり、侵入に成功したサーバは壊してしまうより、こっそりと長く使いつづける方がクラッカにとってはメリットがあるのです。
(4)撤収処理
撤収時には、次回の侵入が容易になるよう、裏口(バックドア)をつけてから、アクセスログを消去して引き上げます。
(1)侵入
アクセス権の無い第三者が、企業等のネットワークに不正に入り込む行為を指します。通例、ネットワークの入口には認証システム等によるアクセス制限がかかっていますが、これを突破してネットワークへ侵入します。IDとパスワードを不正に入手して認証システムを通過する場合や、サーバOSの脆弱性を利用した侵入等があります。
(2)盗聴
インターネットやネットワークでの盗聴は電話等の音声盗聴とは違い、主にネットワークを流れているパケットを収集、解析による方法と、IDとパスワード盗用による方法の2種類があります。
(3)なりすまし
他人のIDとパスワードを利用して、文字通りその人物になりすまし、ネットワークの権限を勝手に使用する行為を指します。他人名義でのメールの送受信やデータの閲覧と改ざん、ECサイトやオークションサイトでの取引等がこれにあたります。
(4)改ざん
データやホームページの内容を書き換えてしまったり、システムの設定や内容を不正に変更したりする行為を改ざんと言います。侵入やなりすましによってデータにアクセスできれば改ざんが可能になります。ホームページの書き換え等は目立つので、すぐに復旧対応ができますが、データベースの蓄積データを少しずつ改ざんするような、外部から見えない改ざんは大変に厄介です。管理者は数年に渡ってデータ改ざんに気づかず、誤ったデータを使用しつづけることで、後で経営・財務上の損害等を引き起こす可能性もあります。
(5)破壊
この行動は通例、怨恨や売名、どうしてもクラックできなかったサイトに対して実効されます。破壊はデータやプログラムを壊す行為で、もっとも被害の大きい脅威です。復旧には労力と時間を要し、その間サーバが提供すべきサービスは停止します。復旧できなければ情報資産を失うかもしれません。侵入やなりすましによる内部からの破壊だけでなく、外部からDoS攻撃等のサーバの能力を超えるアクセスを一度に送りつけてダウンさせる方法がある。
| 前へ | ホームへ | 次へ |
© 2002 Information-technology Promotion Agency, Japan. All rights reserved.