サイバークライムひゃくまん人

山崎俊一
2001/03/28

 米国のeコマース・サイトから顧客情報が漏洩している、ロシア、ウクライナ方面から侵入が続いている、という噂が昨年から流れていました。疑われたのは、オンライン販売のAmazon.comですが、3月6日、実際に漏洩したのはAmazon傘下のBibliofindで、推定被害9万8000件と一般紙に報道されました。被害の拡大を恐れたFBIはMicrosoftと共同で、捜査情報の中途公開に踏み切りました(3月8日)。異例の事態です(FBIの警告ページ[英文])。

セキュリティ神話はなかった

 被害の規模は大きく推定40社、100万人以上のクレジットカード番号、氏名、電話番号などが漏洩していた可能性が指摘されています。マスコミは大騒ぎですが、世間一般の反応は意外と冷静と伝えられています。

 前にもあったことだし、そもそもWebのセキュリティなんて危なっかしい、クレジットカードなんか怖くて使えない、というのが常識になっているのかもしれません。

常套手段、バッファ・オーバーフロー

 振り返ってみると、1998年2月、米軍などのサーバ1000台以上が侵入を受けるという事件がありました(Solar Sunrise事件:本稿の最後を参照)。

 このとき使われたのは、SolarisのRPC(Remote Procedure Call)系コマンドのバグをつき、確保したバッファのサイズを越えるデータを書き込むことで、意図的に不正な動作をさせるという手法です。通称「バッファ・オーバーフロー(buffer overflow)」と呼ばれ、同様のバグを抱えるUNIXコマンドは多数見つかって、今でもWeb侵入の常套手段になっています(LinuxもNTもほぼ同様。バッファ・オーバーフロー問題に関する詳細[英文])。

DNSジャック

 インターネットの基本サービス、DNS(Domain Name Service)のBIND(Berkeley Internet Name Domain)にも同様な弱点があります。なかでも1999年7月、米ネットワーク・ソリューションズ(NSI)社(ドメインの登録機構『InterNIC』を管理運営する会社、つまりネットの大もと締め)へのクラックは有名です。最近では、イスラム過激派Hammasのページがポルノ・サイトにリダイレクトされるといった宗教的冒涜事件など、被害例は無数にあります。

RDS脆弱性

 一方、今回狙われたのは主にマイクロソフトのIIS(Internet Information Server) 3.0、4.0をWebサーバとして使用しているeコマース・サイトで、MDAC(Microsoft Data Access Components )のRDS(Remote Data Service)データファクトリ・オブジェクトが侵入経路と伝えられています。

 これは、1998年7月にセキュリティ対策済み、公開済みの古典的バグで、つまり、侵入されたWebの設置者は、3年近く更新せずにバグのある旧バージョンを放置していたことになります(RDSパッチ情報[英文])。

非破壊型妨害工作:Denial of Service(DoS)

 窃盗ではなく妨害だけが目的なら、もっと陰湿な手もあります。DoS(Denial of Service)、直訳すると「サービス拒絶」とは、冷蔵庫のドアが開いていると中は冷えない、といった手法です。

 1999年4月、ケンブリッジ大学などのWindows 95マシン約6000台をクラッシュさせた“WinNuke”は、初歩的なDoSと考えられます。ネットワークの上では、例えば“ping”コマンドを無限に発行することでパケット洪水を起こし、トラフィックを麻痺させる、といった手段を使います(用語解説:DoS攻撃)。

DDoS:分散型DoS(Distributed DoS)

 こちらはネットワーク上の複数の拠点から、妨害の対象となるサイトへ同時にDoS攻撃を仕掛ける手法です。あらかじめ第三者サイトにもぐりこみ、基本ワザであるバッファ・オーバーフローなどでDoSデーモンをばら撒いておいて、一斉に起動するという2段階戦略になります。

 デーモンの数は数百かそれ以上だったりして、集中攻撃を受けたサーバは負荷に耐え切れず停止するか、動いていても有効バンド幅がゼロになってしまいます。

直截な防御策はない

 DDoSの標的にされたサーバは、別に不具合があるわけでもなく、セキュリティ侵害でもなく、技術的には正常です。一見すると膨大なユーザーのアクセスに見えて、攻撃が止まれば正常に戻り、損傷もありません。だから厄介です。

 この手で、2000年2月、Amazon、CNN、E*TRADE、Yahoo!、eBayなどへの連続攻撃、今年1月26日の米Microsoftと軒並み被害が続きました。Microsoftの場合、発端はDNSの不具合で、一時回復後にDDoS攻撃で2回目の停止に追い込まれたようです。

戦うDDoS

 DDoSは、ツールキットのような形で流布されています(TFN、TFN2K、Stacheldraht、Smurf、trinooなどなど)。例えば、アフガンの原理主義勢力タリバン、パキスタン軍情報部:SIS系列の一派(インド・パキスタン核競争)、セルビア系旧勢力(反ユーゴスラビア空爆)などが利用しているようです。

 昨年来のテルアビブ騒乱も、サイバー泥試合になっています(この事件に関する大阪読売新聞の記事ページ:http://osaka.yomiuri.co.jp/int/in01023.htm)。見かねた(?)Solar Sunrise事件の真犯人、イハード・タネバウム(Ehud Tenebaum)氏がボランティアをかってでて、双方にWeb防衛を指導して歩いたという、冗談みたいな実話もあります。

HotWired の誤解

 冗談といえば、Microsoft.com停止について、ワケの分らない報道もありました。

サイトの再ダウンで疑問視されるMSの『ドット・ネット』計画

 DDoSを知らなければ、そう見えるかもしれません。でも、実際にDDoSが侵入したのはMicrosoftではなく第三者のUNIXサイトであり、それらの不正動作の結果、Microsoftが麻痺したという形です。疑問視されるのは、spoof、つまりデーモンを食らったSolarisやLinuxのセキュリティ・ホールではないでしょうか。

 ちなみに、CERT(Computer Emergency Response Team)が指摘する問題点を表に挙げます。いずれも最新バージョンでは解消されています(CERTのホームページ)。

セキュリティ・ホールの例
BIND:*nxt, qinv、その他多数
CGIやサーバ・エクステンション・プログラムのバグ(例 ColdFusion)
RPC:rpc.ttdbserverd(ToolTalk)、rpc.cmsd(Calendar Manager)、rpc.statdほか
SendmailおよびMIMEのバッファ・オーバーフロー
sadmind(Solaris)およびNFS mountdの脆弱性
RDS:Remote Data Serviceのセキュリティ・ホール(MicrosoftのIIS)
ファイル共有および情報共有の不適切な設定
   NetBIOSで共有
   Windows NTのポート135〜139(Windows 2000のポート445)利用
   UNIX NFS のエクスポート(ポート2049)
   MacintoshのWeb共有またはAppleShare/IP(ポート80、427、548)
CERTが指摘するセキュリティ・ホールの例
資料出典:The CERT Coordination Center (CERT/CC)。米国立セキュリティ情報センター。カーネギメロン大学ソフトウェア工学部門が運営。最も正確な情報源です(CERTのホームページ)。日本語訳はこちら(CERTドキュメントの日本語訳のページ)。

アップデートはこまめに?

 以上から分るように、ウイルスとかサイバー攻撃の中身は、バグ拾い寄せ集めのごみ屋敷みたいなものです。

 したがって、ソフトウェアのアップデートなど当たり前の基本を守れば99.99%は防ぐことができます。ところが実際は、数年間ほうっておく人もいるから、こうなってしまったというのが現状なのでしょう。

 今回、Amazon社広報は、漏洩があったのはBibliofindだけで、Amazon本体の顧客情報(3000万件以上)は安全だった、同社の基本システムは2重化されていて、今回の事件はその安全性の逆証明だ、とか語っています。

 ずいぶんふざけた言い訳ですが、これだって実は、昨年10月ごろ、被害に気付いた同社が密かにMicrosoft本社(隣同士)に駆け込んで、急遽Windows 2000サーバのデータベース系を増設し顧客情報を移した、というのが実態と噂されています。

 要するに、Web上でクレジットカードは使わないほうがいい。面倒だけど、郵便振込みやFAX申し込みの方が安心ということなのでしょうね。End of Article


Solar Sunrise事件

 マサチューセッツ工科大学、プラズマ核融合センターのWebサーバから始まった侵入事件。犯人は、パケット・スニファ(packet-sniffer)と呼ばれるデーモン(バックグラウンド・プロセス)を仕掛け、芋づる式に全米の大学や軍関係のUNIXサーバに侵入したようです。

 その実行犯として、カルフォルニアの「天才ハッカー少年」2人が逮捕されましたが、実は素人の高校生で、彼らを操った影の真犯人はイスラエル在住の自称アナーキストでした。
 

山崎俊一(やまざき しゅんいち)
CD-ROMの標準化やSGMLの標準化作業に参加。ドキュメンテーションとコンピューティングの接点で古くより活躍する。またパーソナル・コンピュータの可能性にいち早く注目し、MacintoshやMS-DOS、Windowsのヘビーユーザーとして、コンピュータ関連雑誌、書籍などで精力的な執筆活動を展開、業界の隠れた仕掛人である。

「Opinion



Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間