現在地 HOME > 掲示板 > IT4 > 456.html ★阿修羅♪ |
|
2003/12/10 18:20:00 更新
相次ぎ狙われるLinux、セキュリティチェック強化へ【ZD_Net記事】
http://www.zdnet.co.jp/enterprise/0312/10/epn30.html
「人気の裏返し」とも言えそうだが、Linuxとオープンソースプロジェクトを標的にした攻撃が増えており、各プロジェクトでセキュリティチェックの意識が高まっている。
最近、オープンソース開発プロジェクトを標的としたオンライン攻撃が相次ぎ、オープンソース開発者らを戦々恐々とさせている。
ここ4カ月以内に、Linuxカーネル開発チーム、Debian Project、Ganto Linux Project、そしてGNU Projectのプログラムとコードをホスティングするサーバのセキュリティが何者かによって侵害された。GNU ProjectはLinuxをはじめとするUNIXライクなシステムに使われる重要なソフト多数の開発を管理している。こうしたことからオープンソースプロジェクトのリーダーたちの間でセキュリティを見直そうという意識が高まっている。
「オープンソースサーバ、およびコアオープンソース開発サーバが標的にされるというのは由々しき事態だ」と語るのは、Gentoo Linuxコードの配布システムを監督するインフラチームメンバーのコーリー・シールズ氏。「悪さをしようと思った誰かが中核ソフトに変更を加え、問題のあるパッケージがユーザーの手に渡ってしまうのではないかという懸念がある」
オープンソースの開発モデルは、MicrosoftのWindowsと競合するOSの開発に、計り知れない進歩をもたらした。そしてこれまではずっと、ハッカーの標的はWindowsだった。しかし今や、オープンソースが攻撃者を引き寄せているかのようだ。これはある意味、裏返しの賛辞でもあるのだが、Linuxやそのほかのオープンソースアプリケーションは、人気が高まった結果として攻撃者の標的になりつつある。十分安全な開発システムを有していると自負する開発者でさえ、この流れに多少なりともろうばいしている。
「次の標的にならないようにと願い、悪いやつらの一歩先を歩くよう努める必要がある」とSamba Projectの共同創設者で開発者のジェレミー・アリソン氏は語る。同プロジェクトはWindowsネットワークとシームレスにやり取りできる人気の高いオープンソースファイルサーバを開発している。
Gentoo Linuxに対して起こされた12月1日の攻撃では、Gentooのソースコードのユーザーへの配布に使われているボランティア運営の105台のサーバのうちの一つが侵入を受けた。だがこの攻撃はメインのソースコードデータベースには影響を及ぼさなかった。また、標的にされたサーバ上のセキュリティソフトが攻撃を即座に検知し、詳細な記録を取ったという。
これに先だって11月には、Linuxカーネルに対する攻撃が起きている(11月7日の記事参照)。別のシステム(このケースでは開発者が保有するシステム)が侵入を受けて踏み台にされたという点で、これも似た事件だった。攻撃者は開発者のマシンを使ってセカンダリサーバにコードを送ろうとした。また、それがインストールされていれば後の攻撃者もアクセスができてしまうというコードが使われている。この攻撃も、24時間以内に検知された。
相次ぐ攻撃の中には、もっと深刻なものもある。
GNU Projectでは、侵入者が開発システム「Savannah」へのアクセス権を取得するという事件が発生。また、Debian Linuxの開発とコミュニティーを管理するのに使われているDebian Projectの4台のサーバでも同様の出来事があった。
この二件の攻撃は、どちらも同じように実行されている。正規ユーザーのログイン名とパスワードをなんとか手に入れた攻撃者が、Linuxカーネルに最近見つかった脆弱性を利用してシステムオーナーの権利と特権を取得するという手口だ。DebianとGNU Projectのリーダーは、安全を保証できるまで、システムをオフライン状態(開発者がアクセスできない状態)にしている。
GNU Projectによると、今回の攻撃と、3月に起きたファイル転送サーバへの攻撃は、同プロジェクトのリーダーに仕組みの変更を促している。
「Savannahの一件を受け、われわれは対策を講じることになるだろう」と、GNU Projectのメンテナンスに当たっているFree Software Foundationの法務担当責任者、エベン・モグレン氏は語る。GNU Projectは自由に入手可能なUNIX/Linuxシステム用ソフトの大本だ。プロジェクトリーダーらはそうした対策の一つとして、提供するコードすべてに開発者の電子署名を義務付け、無償配布されているソースコードメンテナンスシステム――Concurrent Versions System(CVS)として最もよく知られている――に機能を追加し、変更を受け入れる前に開発者の電子署名をチェックするという仕組みが計画されている。
「システムを強化してコード内容の完全性を保証する上で、(電子署名の追加は)最も効果的な技術上の変更だとわれわれは考えている」(モグレン氏)
LinuxとUNIXのシステムを機能させるソフトを多数作成してきたGNU Projectは、自分たちのソフトはGNU Public License下で配布されているため「フリー」だとしている。同ライセンスでは、修正の結果となるコードを同じ条件で配布すれば、アプリケーションとソースコードを自由に利用・修正してかまわないと規定している。その狙いは、自由に利用・改良・共有可能なソフトを広めることにある。
しかし批判者は、この開発モデルには隠れたコストが伴うと指摘している。企業は「攻撃が原因のセキュリティホールは無い」と保証したい場合、自力でコードを検査しなければならないとMicrosoftの情報セキュリティ担当ジェネラルマネジャー、グレッグ・ウッド氏は語る。MicrosoftはLinuxやApache Webサーバなどのオープンソースソフトの開発プロジェクトを、ライバルとして声高に批判している企業だ。
「ビジネスプロセス面で、オープンソースには代償が伴う。完全性を自力でチェックし、プロセスを構築するためのコストを支払わなければならない」(ウッド氏)
だがMicrosoftも問題を抱えてきた。例えば2000年10月、攻撃者が、ある開発者のコンピュータの制御権を使って、Microsoftのネットワークに侵入している。Microsoftはその後、自社のソフトと開発プロセスの安全化を目指して「信頼できるコンピューティング戦略」を立ち上げた。
開発者らは、確かにオープンソースソフトに対する最近の攻撃では一部コンピュータの制御権が悪者の手に渡ったかもしれないが、これらのプロジェクトは既にセキュリティを真剣にとらえており、だいたいにおいて開発への影響は被っていないと反論する。
「最近の攻撃がどれも早急に発見されたのは、マスターサイトの大半がプライベートサイトで、(攻撃者がセカンダリサイトに変更を加えようとしたとき)各種のチェック機能が作動したおかげだ」と語るのは、Linuxカーネルの元々の作者で今もメンテナーを務め、Open-Source Development Labs(OSDL)フェローでもあるリーナス・トーバルズ氏だ。
トーバルズ氏は、これまでに複数回、セキュリティに対する考えを改めている。フィンランドのヘルシンキ大学時代、同氏は同校のオープンネットワーク上の他者がアクセス可能なマシンの上で初期のLinuxカーネルのメンテナンスをしていた。今日、Linuxカーネルサーバは複数のファイアウォールで守られ、通信はsecure shell(SSH)で暗号化され、完全性の保証のため暗号署名が使われている。
トーバルズ氏がカーネルプロジェクト管理のために使っているオープンソースメンテナンスアプリケーションのメーカー、BitMoverの創業者ラリー・マクボイ氏は、ソースコードが改ざんされていないことを保証するため、すべてのプロジェクトがこうした署名――あるいは「チェックサム」――を採用すべきだと強調している。
「データのチェックサムをしておらず、偏執症でもない場合、どうなるか。愚か者呼ばわりされてしまう」(マクボイ氏)
Debian Project、Gentoo Linux、Samba Projectは既に、攻撃によってファイルが改ざんされていないか検証するため外部チェックサムを用いている。MandrakeSoftの共同創設者、ゲール・デュバル氏によると、この手の技法によってプロジェクト保守に伴う懸念の大半は解消できる。MandrakeSoftでも、こうした手法で自社のLinuxディストリビューションを保護している。
「セキュリティは目新しいテーマではないし、ソリューションも目新しいものではない。最初の一歩は、システム管理者とユーザーが、セキュリティ問題をもっと重要なものと認識することだ」(デュバル氏)
GNU Projectの意向はCVSソフトのセキュリティ機能を強化することだが、Apache Software Foundationは人気の高いオープンソースWebサーバソフトを、別のソースコードメンテナンスシステム、Subversionに移行しつつある。それは主にセキュリティのためだとApache Software Foundationの開発者、ジャスティン・エレンクランツ氏は説明する。
「われわれが現在持っているCVSよりSubversionの方が、優れたセキュリティモデルを提供できそうなことが分かった。それは主に、すべての関係者にローカルUNIXアカウントを設ける必要がないことと、すべてのトランザクションにチェックサムを追加できることが理由だ。われわれがサポートすべきローカルアカウントの数が減ることで、よくある攻撃のベクトルの一つを消すことができるとの期待がある」(エレンクランツ氏)
オープンソース開発モデルの特性も、懸念の一部解消に役立つと同氏は言う。開発の分散化というオープンソースの特性は、メインサーバのコードの完全性をチェックするためのソースコードリポジトリが、ほかにもたくさん存在するということを意味しているからだ。
「万が一、apache.orgがやられても、すべての開発者がリポジトリと同期していることや、悪質なコードの挿入がないことを確認できる」(エレンクランツ氏)
トーバルズ氏も同様の考えを示しており、カーネル開発のメインサーバが襲われたとしても、オープンソースコミュニティーには、ほかにもチェック&バランスの手段があると語っている。
「最終的には状況が判明する。カーネルのソースコードはエンドレスに複製されており、問題あるコードが追加されたかどうかを判断できる」とトーバルズ氏。
悪意の攻撃者より、単純ミスの方が心配なくらいだと同氏は加えた。
「個人的には、ただのバグの方がずっと心配だ。発見されるカーネルの弱点は何であれ、Debianがそうであったように、ずる賢いクラッカーの悪事によるものというより単なる愚かなバグである可能性の方がずっと高いのだ」(トーバルズ氏)
原文へのリンク
関連記事
Debianへの攻撃はLinuxカーネルの脆弱性が原因
狙われたLinuxカーネル――「指紋照合」で不正変更を検知
不正アクセスを受けていたGNU ProjectのFTPサーバ
[Robert Lemos,ZDNet/USA]