1998年11月04日(水)
<< 前の日記 | 次の日記 >>
これまでの11月04日
編集
■1内側からのセキュリティ危機次の記事 >>
Tweet
最近は一段落していてあんまりネタがありません。と、いうことでいつか書こうと思っていた「内側からのセキュリティ危機」についてお話しようと思います。
最近「セキュリティを確保したい」といえば、「ファイヤウォールを導入する」というのが一般的になっているのですが、内部でのユーザー教育が悪いと何もかも崩壊するというお話です。
ファイヤウォールは防火壁ですが魔法の壁ではありません。 設定されたルールに従って判断するだけで、善悪に基づいて判断しているのではないのです。 内部に協力者がいればトンネルを作ることができます。
まったく悪意はなくとも、協力者になってしまうユーザーもいます。というより、産業スパイのような特殊なケースを別にすれば 「悪意のないユーザーをだまして」協力者にさせる ケースの方が多いものと考えられます。
ある日、あなたはWebの検索ページで(仕事の資料|Hな写真)が載っているページを見つけます。そのページに行ってみると確かに魅力的なデータがあるのですが、それを見るためには別にプラグインを入手する必要があります。
さっそく、そのプラグインのバナーをクリックして、必要事項に記入してプラグインをダウンロード。実行したら無事インストールされ、件のデータを入手することができました。
というようなことを行うと 大変なこと になる可能性があります。
実はこの魅力的なデータがあるページは、侵入者が用意したページなのです。もちろんプラグインにも侵入者が細工をしており、ある種のウイルスが仕込んであります。
このウイルスは、侵入者の秘密のページで侵入者の指示を受け、ファイヤウォールの内側で入手した情報やファイルをこっそり侵入者に伝えたり、書き換えたりするのです。データの受け渡しはWebページの閲覧と同様のやり取りで行いますから、 これを阻止することはほとんどのファイヤウォールで不可能です。
こうして、知らない間の内部からの手引きによって「内側からのセキュリティ危機」は発生します。
何百万かするファイヤウォールを導入したけれど、セキュリティ体制が全然だめだということが一目で分かる組織もたくさんあります。こういう組織ではファイヤウォール導入で安心したために、かえってモラルが低下していたりしてある程度以上の知識のある侵入者にはかえって無防備だったりします。
ファイヤウォール導入はセキュリティ問題の絶対的な答えではありませんし、選択肢の内の一つでさえありません。 セキュリティを向上させるための様々な対策のうちの一つであることを忘れてはいけません。
最近「セキュリティを確保したい」といえば、「ファイヤウォールを導入する」というのが一般的になっているのですが、内部でのユーザー教育が悪いと何もかも崩壊するというお話です。
ファイヤウォールは防火壁ですが魔法の壁ではありません。 設定されたルールに従って判断するだけで、善悪に基づいて判断しているのではないのです。 内部に協力者がいればトンネルを作ることができます。
まったく悪意はなくとも、協力者になってしまうユーザーもいます。というより、産業スパイのような特殊なケースを別にすれば 「悪意のないユーザーをだまして」協力者にさせる ケースの方が多いものと考えられます。
ある日、あなたはWebの検索ページで(仕事の資料|Hな写真)が載っているページを見つけます。そのページに行ってみると確かに魅力的なデータがあるのですが、それを見るためには別にプラグインを入手する必要があります。
さっそく、そのプラグインのバナーをクリックして、必要事項に記入してプラグインをダウンロード。実行したら無事インストールされ、件のデータを入手することができました。
というようなことを行うと 大変なこと になる可能性があります。
実はこの魅力的なデータがあるページは、侵入者が用意したページなのです。もちろんプラグインにも侵入者が細工をしており、ある種のウイルスが仕込んであります。
このウイルスは、侵入者の秘密のページで侵入者の指示を受け、ファイヤウォールの内側で入手した情報やファイルをこっそり侵入者に伝えたり、書き換えたりするのです。データの受け渡しはWebページの閲覧と同様のやり取りで行いますから、 これを阻止することはほとんどのファイヤウォールで不可能です。
こうして、知らない間の内部からの手引きによって「内側からのセキュリティ危機」は発生します。
何百万かするファイヤウォールを導入したけれど、セキュリティ体制が全然だめだということが一目で分かる組織もたくさんあります。こういう組織ではファイヤウォール導入で安心したために、かえってモラルが低下していたりしてある程度以上の知識のある侵入者にはかえって無防備だったりします。
ファイヤウォール導入はセキュリティ問題の絶対的な答えではありませんし、選択肢の内の一つでさえありません。 セキュリティを向上させるための様々な対策のうちの一つであることを忘れてはいけません。
■ 関連記事
- セキュリティチェックリスト1998-11-04
- ファイヤウォール1998-11-29
- 「Google Chrome Frame」騒動にモジラの幹部がコメント2009-09-30
- ipfw+amanda+freebsd+firewall2001-01-18
- PluginCommanderの部屋2002-05-29
- 時刻合わせと危機管理2005-05-09
- STEP - SuperTagEditor Plugin2005-02-22
- 企業ネットワークへの攻撃者は内部にいる可能性が高い2001-03-30
- 長崎県教育センターホームページの不正書き換えについて2004-12-15
- JavaScriptによる簡単なページ制御2005-01-23
- IPv6トンネル接続実験2002-04-30
- Acrobat / Adobe Reader プラグインのバッファオーバーフローの脆弱性に関するセキュリティ情報2005-08-22
- CD-ROM等を用いた不正なプログラムの配布事案への注意喚起2005-11-02
- NT+IIS4.0に対する侵入コードの公開1999-06-18
- 住基ネット侵入実験、名古屋市実施へ 危険性立証の考え2010-02-02
■2セキュリティチェックリスト<< 前の記事
- サーバのNTでWebページを見たりしている
- NTはみんなadminで使っている
- パスワードとユーザー名はみんな共通
- ブラウザのプラグインは抵抗なく入れる
- パスワードとユーザー名が同じだ
- パスワードは会社名・部署名の略称だ
- サーバのログをチェックしたことがない
一つでも当てはまったら、あなたの組織では「極めて危険」な運用をしています。
ここで言う「極めて危険」というのは、侵入者がやってきて、サーバのデータを根こそぎ持っていった挙げ句に適当に書き換えられていても「誰もまったく気づかない」可能性があるということです。
ひょっとすると、既に侵入されていてたまたま侵入者がおとなしくしているだけかも知れませんが・・・
付記:「プラグインに化けて侵入」内側から蝕むウイルスですが、絵空事ではありません。作るのに技術的困難はありませんし、ここで名前を挙げるのは控えますがそのようなものはすでに流通しています。
■ 関連記事
- 内側からのセキュリティ危機1998-11-04
- 「Google Chrome Frame」騒動にモジラの幹部がコメント2009-09-30
- NT+IIS4.0に対する侵入コードの公開1999-06-18
- PluginCommanderの部屋2002-05-29
- Twitterがクラック2009-12-18
- NTとんでも本の世界1998-10-26
- 住基ネットに係る市町村ネットワークの脆弱性調査最終結果について2004-03-02
- パスワードは校長名、生徒が校内LANに侵入 北海道2005-06-06
- JavaScriptによる簡単なページ制御2005-01-23
- STEP - SuperTagEditor Plugin2005-02-22
- 電子申請 行政ソフトに不具合2005-04-20
- フィッシング詐欺用サイトとサイト改竄の違い2005-02-22
- 時刻合わせと危機管理2005-05-09
- 続・UFJ銀行を偽装した電子メール詐欺が発生していますのでご注意ください2005-03-16
- 続・Flashムービーに感染するウイルスが初登場2002-01-11
