侵入（アタック）に関する情報

2001年5月11日改定

侵入（セキュリティアタック）

侵入は、クラッカーの最終目標です。サイト管理者にとってはこれを許すことは敗北といえるでしょう。ひとたび侵入を許してしまうと、それを足がかりにクラッカーたちはサーバーにバックドア（裏口）を作っていつでもそのマシンに侵入できるようにしたり、他のサイトを攻撃するためのプログラムを侵入したマシンで動かしたり、メールサーバソフトを入れ替えて各ユーザのパスワードを盗んだりといった悪さをしていく事になります。これらの侵入には、アタック専用ツールが用いられているため、サイトの知名度や規模には無関係で攻撃されるので、「自分のサイトは無名だから大丈夫」なんていう理屈は通用しません。もしこのような意識でサイトを無防備にしていると、いつの間にか別のサイトの攻撃者にされてしまい、今後は場合によっては損害賠償請求されるようなケースも出てくるかも知れません。逆に、ほとんどの場合はこれらアタックツールに対応した設定をしておけば殆どの場合には安全といえるので、最低限のセキュリティは確保するようにネットワークを設計しましょう。
代表的な侵入手口は以下の通りです。

代表的な侵入経路と攻撃方法

侵入経路攻撃の概要対策

sendmail 8.8.4以前バッファーオーバランによって管理者の権限を取得される危険がある
dead.letterにバグがあり、このバグをついて任意のアカウントでログインされる危険がある最新バージョンにアップ

sendmail 8.8.8／8.9 HELOバッファオーバフローによって匿名メールを可能にしてしまう最新バージョンへアップ

bind 8.2.3 以前 BIND実装方法に問題があり、この弱点を突かれると場合によっては管理者権限を奪われる最新バージョンへアップ（8.2.3 or 9.0以上）

WU-imapd4.0以前バッファオーバランによって管理者の権限を取得される危険がある。最新バージョンにアップ。

INNd 1.5以前任意のコマンドを実行されてしまう危険がある。最新バージョンにアップ。

NFS （mountd 2.2. beta24以前）任意のコマンドを実行されてしまう危険がある。最新バージョンにアップ

Apache1.0.3以前 phf(cgi)によって任意のコマンドを実行されてしまう危険がある。最新バージョンにアップ

statd OSにもよるが、古いstatdが動作していると管理者権限を取得される危険がある。最新バージョンにアップ

qpopper2.4以下バッファオーバランによって管理者の権限を取得される危険がある。最新バージョンにアップ

WinGate 中継サーバとして利用されてしまう（ログが残らない）対応パッチまたは最新バージョンへアップ

MS IE ActivXを使って任意のコマンドを実行できるインターネットでは使わないか、使う場合には常に最新のパッチの適用とスクリプトンの実行を無効にしておく。ただし、イントラネットで使う場合には便利！

パスワードハックパスワードファイルを辞書または総なめ方式で解析。単純なパスワードだと解析可能。複雑なセンテンスを採用（記号等を組み合わせる）し、定期的に組み替える。また、シャドーパスワードを導入する

Spoofing（スプーフィング） spoofing自体はアタックではありませんが、これらのパケットは攻撃サイトを隠すのが目的であることが主な理由です。（本来はありえないパケット）ですからこれらのパケットは悪意を持ったパケットして分類できます。（アタックツールを流し込むのが目的あるケースが想定される）ルータやファイヤーウォールで検知・拒否させる

侵入経路	攻撃の概要	対策
sendmail 8.8.4以前	バッファーオーバランによって管理者の権限を取得される危険がある dead.letterにバグがあり、このバグをついて任意のアカウントでログインされる危険がある	最新バージョンにアップ
sendmail 8.8.8／8.9	HELOバッファオーバフローによって匿名メールを可能にしてしまう	最新バージョンへアップ
bind 8.2.3 以前	BIND実装方法に問題があり、この弱点を突かれると場合によっては管理者権限を奪われる	最新バージョンへアップ（8.2.3 or 9.0以上）
WU-imapd4.0以前	バッファオーバランによって管理者の権限を取得される危険がある。	最新バージョンにアップ。
INNd 1.5以前	任意のコマンドを実行されてしまう危険がある。	最新バージョンにアップ。
NFS （mountd 2.2. beta24以前）	任意のコマンドを実行されてしまう危険がある。	最新バージョンにアップ
Apache1.0.3以前	phf(cgi)によって任意のコマンドを実行されてしまう危険がある。	最新バージョンにアップ
statd	OSにもよるが、古いstatdが動作していると管理者権限を取得される危険がある。	最新バージョンにアップ
qpopper2.4以下	バッファオーバランによって管理者の権限を取得される危険がある。	最新バージョンにアップ
WinGate	中継サーバとして利用されてしまう（ログが残らない）	対応パッチまたは最新バージョンへアップ
MS IE	ActivXを使って任意のコマンドを実行できる	インターネットでは使わないか、使う場合には常に最新のパッチの適用とスクリプトンの実行を無効にしておく。ただし、イントラネットで使う場合には便利！
パスワードハック	パスワードファイルを辞書または総なめ方式で解析。単純なパスワードだと解析可能。	複雑なセンテンスを採用（記号等を組み合わせる）し、定期的に組み替える。また、シャドーパスワードを導入する
Spoofing（スプーフィング）	spoofing自体はアタックではありませんが、これらのパケットは攻撃サイトを隠すのが目的であることが主な理由です。（本来はありえないパケット）ですからこれらのパケットは悪意を持ったパケットして分類できます。（アタックツールを流し込むのが目的あるケースが想定される）	ルータやファイヤーウォールで検知・拒否させる

その他のアタック状況や対策に関してはＪＰＣＥＲＴ（http://www.jpcert.or.jp/）やLinuxユーザグループ（http://www.linux.or.jp/）を参照してください。

対策

侵入に対する対策の基本は各種のアタックに対してしっかりしたセキュリティポリシーを設計することです。つまり、自分のサイト上にセキュリティ的な弱点が無いかをしっかりと把握し、問題のありそうな部分はその弱点を補強する必要があります。また、万一セキュリティを突破された場合でも被害が最小限で済むような設計を行うことです。そのためにはまず、現在の自分のサイトに弱点があるかないかを十分に把握する必要がありますが、それを把握するにはある程度のネットワーク設計の経験が必要とされるため、一般の企業においてはそのような要員を確保するのは困難ではないかと考えられます。「Ｄ・ネットプラン」では、このような弱点を探すお手伝いとして、「セキュリティチェック」サービスを提供しています。これは、クラッカーが使うツールと同等のツールを使い、実際のアタックと同等のアタックを希望者のサイトに行い、セキュリティ的な問題が無いかを発見するお手伝いをします。
もし、自サイトのセキュリティに問題が無いか確信がないような場合はご利用ください。

セキュリティチェック・サービス参加申込書

メール　　　ホーム