検索
連載

アップデート機能を悪用した攻撃に対抗セヨ!川口洋のセキュリティ・プライベート・アイズ(51)(2/2 ページ)

自動アップデートサーバーを乗っ取るという手法が話題になりました。実はHardeningでも、ひそかにその手を仕込んでいました。

Share
Tweet
LINE
Hatena
前のページへ |       

Hardeningで仕込んだシナリオ

 アップデート機能を悪用した攻撃手法は、先日行われた「Hardening 10 APAC」でもひそかに取り込んでいました。

関連記事

沖縄の暑さに負けない熱戦を繰り広げた「Hardening 10 APAC」(@IT)

http://www.atmarkit.co.jp/ait/articles/1407/04/news101.html


 Hardening 10 APACで作ったサーバーには、各サイトで使われているソフトウェアのアップデート用パッケージが用意されていました。そのパッケージにはバックドアが仕込まれており、署名を検証せずにインストールすると被害に遭うはずです。

 参加者の環境にあるサーバーのyumの設定を、以下のようにしておきました。gpgcheck=0となっているので、GPG署名のチェックが行われません。


yumの設定

 アップデート用のサーバーには、バックドア入りのパッケージファイルが事前に置いてあります。参加者がyumでアップデートを行うと、GPG署名の確認が行われず、バックドア入りのパッケージにアップデートされてしまう仕組みです。もし、gpgcheckに1が設定されていれば以下のような「..... is not signed」というエラーを出力して、アップデートは失敗します。


GPG署名チェック

 多くの参加者がyumを実行した結果、バックドアプログラムが動く結果になってしまいました。「Hardening 10 APAC」の競技を振り返る「Softening Day」でその種明かしをしたところ「そこまでやるか」というような会場の雰囲気を感じましたが、こういう競技の環境でもないとリアルな体験することはできなかったのではないかと思っています。

Hardeningの今後に向けて

 今回はアップデート機能を悪用した攻撃を取り上げました。サービスやソフトウェアの提供元が不正アクセスを受け、提供されているものが「信頼できない」前提でシステムを運用することは非常に大変です。攻撃者は明らかに、その対応の難しいポイントを狙った攻撃を行っており、私たちもこのような攻撃に対応する方法を考えなければなりません。

 前回のHardening 10 APACのコラムを書いてから、あっという間に9月になってしまいました。もう11月の企画の準備に取り掛からなければなりません。Hardening Projectメンバーの熱いミーティングも行われています。今回もまた新しいネタを考えて準備していますので、前回参加できた人も参加できなかった人もぜひ2014年11月の「次のHardening」に参加してください。

 そして、私は次回Hardeningの作戦会議をするために今夜も飲みに行くのでした。

関連記事

工夫、工夫そして工夫――Hardening 10 APAC“運営”レポート(@IT)

http://www.atmarkit.co.jp/ait/articles/1407/09/news007.html


著者プロフィール

川口 洋(かわぐち ひろし)

株式会社ラック

チーフエバンジェリスト

CISSP

ラック入社後、IDSやファイアウォールなどの運用・管理業務を経て、セキュリティアナリストとして、JSOC監視サービスに従事し、日々セキュリティインシデントに対応。

チーフエバンジェリストとして、セキュリティオペレーションに関する研究、ITインフラのリスクに関する情報提供、啓発活動を行っている。Black Hat Japan、PacSec、Internet Week、情報セキュリティEXPO、サイバーテロ対策協議会などで講演し、安全なITネットワークの実現を目指して日夜奮闘中。

2010年〜2011年、セキュリティ&プログラミングキャンプの講師として未来ある若者の指導に当たる。2012年、最高の「守る」技術を持つトップエンジニアを発掘・顕彰する技術競技会「Hardening」のスタッフとしても参加し、ITシステム運用にかかわる全ての人の能力向上のための活動も行っている。


「川口洋のセキュリティ・プライベート・アイズ」バックナンバー

Copyright © ITmedia, Inc. All Rights Reserved.

前のページへ |       
ページトップに戻る