DNS、管理者として見るか？攻撃者として見るか？：セキュリティ対策の「ある視点」（5）（3/3 ページ）

» 2007年11月30日 00時00分公開

ペネトレテスターは見た！実録・SSHパスワードが分かるまで

　第5回となる今回まで、主に攻撃者が情報収集に用いるような手法を取り上げ解説してきている。

　ペネトレーションテストを受けたことのある方であればお分かりいただけるかと思うが、これらは結果報告において、それほど高い危険度では報告されない。せいぜい、中程度だろう。

　だが、それらの多くは、バッファオーバーフローを引き起こされる脆弱性のような直接侵入行為につながる危険性ではないからである。多くは、その脆弱性（指摘事項）単体でどれほど危険であるかという観点から重み付けをしているのである。しかし、この中程度以下の危険度のものが、検査結果を大きく左右する場合もある。

　過去に筆者は、ゼロナレッジ【注2】のペネトレーションテストを行い、最終的には本番環境のWebサーバ上で稼働している、SSHのパスワードが判明し、侵入することが可能であったというものを経験している。

【注2】

サーバの用途やOSなどの一切の情報をもらわず行う検査。筆者の経験では組織の名称からサーバを探し出し、見つけたサーバのアドレスをお客さまに提出し、見つけ出したサーバを自組織のものであるとの確認を行ってもらってから、実際の検査に臨むといったものもあった。

　その場合、当然、侵入を許してしまったSSHのパスワードが解析できてしまった点を最も危険度の高い脆弱性として報告した。だが、その侵入に至った大体の経緯は以下のとおりだったのである。

組織名を検索エンジンで調べ、ドメインを特定
ドメイン情報からWhois【注3】などを用いて調査【注3】などを用いて調査
所有IPアドレスやネームサーバ（DNS）を特定
プライマリDNSサーバからゾーン転送情報の取得に成功
テスト用Webサーバと推測される名前のホストを発見
バナー情報などを確認すると脆弱性が存在するバージョンのソフトウェアを使用していることが容易に判明
脆弱性を利用し、侵入可能であることの実証に成功
同様の手法で本番環境のWebサーバに侵入を試みるが実証失敗
テスト用Webサーバへの侵入に成功しているので、パスワード情報を取得し、解析に成功
テスト用Webサーバで解析に成功したパスワードを本番環境のWebサーバのSSHログインに用い、侵入成功

【注3】

インターネット上にドメイン登録者に関する情報を公開するサービス。これを利用することで、組織名や管理者、所有しているIPアドレスなども知ることが可能である。

上記のフローでは以下の4つの指摘項目が本番環境のWebサーバの侵入に至った原因であることが分かる。それぞれの危険度を3段階で示してみよう。

	指摘項目	危険度低	危険度中	危険度高
（1）	ゾーン転送情報が取得可能なことからテスト用サーバの発見		●
（2）	テスト用Webサーバでバナー情報が隠ぺいされていなかった	●
（3）	テスト用Webサーバ内で設定されているパスワードが容易に解析できるものであった			●
（4）	本番環境のWebサーバのSSHのログインパスワードにテスト用Webサーバで容易に解析可能であったパスワードと同様のものを使用していた			●

　（1）と（2）は、その脆弱性のみで侵入につながるわけではないのだが、高危険度の発見の手助けをするものになっているということがお分かりいただけただろうか。

いつの世も事件の始まりは“ほんの小さな”きっかけから

　侵入には、必ずしも1つの脆弱性だけで至るとは限らない。

　ペネトレーションテストでは、脆弱性（指摘事項）それぞれの危険度も大切だが、侵入に至った場合は、その経緯にどのような脆弱性が関係しているのかを把握することも大切であると筆者は考えている。そのため、報告をする際には、危険度と結果だけを伝えるといった報告はせず、どのような脆弱性を利用して侵入に至ったのかという流れも報告し、報告書にも示すようにしている。

　今回の内容で、中程度以下の危険度の脆弱性（指摘事項）に関してもおろそかにできないことがお分かりいただけただろうか。

本記事でペネトレーションテストの現場を垣間見ていただき、いま一度、情報取得系の脆弱性に対して考えるきっかけとなれば幸いである。

「次回」へ

「セキュリティ対策の「ある視点」」バックナンバー