SNMPコミュニティ名、そのデフォルトの価値は:セキュリティ対策の「ある視点」(10)(4/4 ページ)
ネットワークシステムを監視し、機器の情報を集めることができるSNMP。今回はその「コミュニティ名」をある言葉に置き換えて考えます。
デフォルトの価値は
以前の記事では、
- ユーザー名とパスワードが同じもの(俗にいうJoeパスワード)
- パスワードがブランク(Nullパスワード)
それに加え、誰しも(組織関係者を含む)推測可能なパスワードは、セキュリティ的に不適切であると解説したが、SNMPコミュニティ名などの情報取得に必要な文字列を含む、デフォルトのパスワードというものも誰の目にも触れるインターネットにデータベースが公開されている以上、推測可能であるということがいえるだろう。従って、デフォルトの価値はゼロに等しいといえるだろう。これはパスワードとしての役割を果たしていないともいえる。
また、昨今注目を浴びつつある、PCIDSSの要件に定義されている中に以下のようなものがある。
要件2:システムパスワードおよびほかのセキュリティパラメータにベンダ提供のデフォルト値を設定しないこと。
ハッカー(社内外の)は、しばしばベンダ出荷時のデフォルトパスワードやそのほかベンダのデフォルト設定を使用して、システムのセキュリティを脅かす。これらのパスワードや設定はハッカーの間でよく知られており、公開情報を通じて容易に特定することができる。
2.1 システムをネットワーク上に導入する前に、ベンダ出荷時のデフォルト値を変更する。
(例えば、パスワードやSNMPコミュニティ名、不必要なアカウントの削除)
このようにPCIDSSの要件にも定義されているということから、デフォルト設定の公知性を悪意のあるユーザーが利用するということ自体が、公知性の高いものになっているといえるだろう。また、このような情報を利用した攻撃は、高い知識、技術力のない者でも容易に利用可能である。つまり、対策して当然といえる項目なのではないだろうか。
しかし、前述したとおり、その状態が自身の管理下にあるシステムにも存在することが分からなければ、対策へのアクションは起こり得ない。
システムを導入する際には、そもそも、そのシステムは何のために使うのかを明確にしたうえで、デフォルト状態はどのようになっているのかを確認することが必要であると筆者は考える。そこを理解したうえで、必要、不要な機能、設定内容の切り分けを行い、不要なものについては、停止や削除を行うことが望ましいといえる。運用前でも後でも、抜け漏れの発生、新たな脆弱性の発見が考えられるため、外部の組織にペネトレーションテストのような検査を依頼し、現状を把握するというのも有効な一手段だろう。
そのような検査を受ける前の自己問診的な用途で、この記事が役に立てれば幸いである。
著者紹介
辻 伸弘(つじ のぶひろ)
セキュリティエンジニアとして、主にペネトレーション検査などに従事している。
民間企業、官公庁問わず多くの検査実績を持つ。
自宅では、趣味としてのハニーポットの運用、IDSによる監視などを行っている。
- Q.E.D.――セキュリティ問題を解決するのは「人」
- たった1つの脆弱性がもたらすシステムの“破れ”
- 報告、それは脆弱性検査の「序章」
- ASV検査、ペネトレテスターの思考を追う
- プレイバックPart.II:シフトした脅威の中で
- プレイバックPart.I:ウイルスのかたち、脅威のかたち
- ハニーポットによるウイルス捕獲から見えてくるもの
- SNMPコミュニティ名、そのデフォルトの価値は
- 人の造りしもの――“パスワード”の破られ方と守り方
- 魂、奪われた後――弱いパスワードの罪と罰
- 魂まで支配されかねない「名前を知られる」という事件
- 己を知り、敵を知る――Nmapで見つめ直す自分の姿
- DNS、管理者として見るか? 攻撃者として見るか?
- メールサーバ防御でも忘れてはならない「アリの一穴」
- 「Forbidden」「サンプル」をセキュリティ的に翻訳せよ
- ディレクトリ非表示の意味をもう一度見つめ直す
- たった2行でできるWebサーバ防御の「心理戦」
Copyright © ITmedia, Inc. All Rights Reserved.