★阿修羅♪ 現在地 HOME > 掲示板 > IT5 > 308.html
 ★阿修羅♪
次へ 前へ
「やられた!」と思った時の適切な事後対策(1)渡辺 勝弘【IT_Pro記事】
http://www.asyura2.com/0401/it05/msg/308.html
投稿者 クエスチョン 日時 2004 年 4 月 01 日 22:17:40:WmYnAkBebEg4M
 

[2004/04/01]

「やられた!」と思った時の適切な事後対策(1)渡辺 勝弘【IT_Pro記事】
http://itpro.nikkeibp.co.jp/members/NBY/Security/20040326/1/

日経ネットワークセキュリティ2003,102ページより
この連載のほかの回を読む

(注:記事は執筆時の情報に基づいており,現在では異なる場合があります)

インターネット・システムへの不正アクセス/侵入事件は後を絶たない。セキュリティ・ホールは毎日のように発見・報告される。ある時点で完璧に近いセキュリティ設定を施していても,セキュリティ・ホールの発見とともに完璧だったはずの設定にも大きな穴が開いてしまう。このため,きちんとセキュリティ対策を施している企業でも不正アクセス被害に遭う可能性はある。そこで,万一のことを想定した対策について取り上げる。Red Hat Linux 7.2を例に挙げ,不正アクセスの疑いがある場合にどのような作業を行えばよいのかを説明する。
(本誌)

 万一,あなたの管理するコンピュータが不正アクセスを受けてしまった場合,どのように対応すればよいのだろうか。セキュリティ被害を防ぐための事前対策を説明した書籍は数多く出版されている。しかし,被害を受けた後の事後対策については意外と知られていない。

 どんなにセキュアに防御しても,セキュリティ被害が降りかかる可能性をゼロにはできない。このため,万一の場合の事後対策もセキュリティ知識の一つとして知っておくべきものだ。以下では,Red Hat Linux 7.2を使って構築したコンピュータを例に挙げ,万一の場合の対策について説明していく。

 あらかじめ断っておくが,本稿は不正アクセスを受けたコンピュータを修復するための解説ではない。不正アクセスの疑いがある場合に,侵害の事実をどのようにして確認し,確認後に何をすべきかについて記したものだ。

 侵害された場合,そのコンピュータをどうにか修復して復旧することは,絶対に避けなければならない。それまで使用していたパスワードなどを再使用するのは言語道断だ。危険このうえない。なぜなら,不正アクセスを受けたコンピュータは,どのような被害を受けているのかまったく予想がつかない。さまざまな方法を駆使して,汚染されたプログラムやデータをコンピュータから除去したとしても,完全に除去できたかどうかを確認する術はないのだ。

 Tripwireなどでシステムの整合性(ファイルが改ざんされたかどうか)を確認できる環境が整っていた場合,状況が少し変わってくるかもしれない。しかし,Tripwireをはじめとするシステム整合性確認ツールも万能ではない。もしかしたら,すでにそれらのツールをごまかすための手法が編み出されているかもしれない。

 すべての事象を事前に予測することは不可能である。コンピュータが不正アクセスを受けた場合,コンピュータを再構築する以外に復旧の道は残されていない。

事後対策の注意点

 不正アクセスを受けているかもしれないコンピュータを調査する際,決定的な不正アクセスの痕跡を発見する場合がある。不正アクセス者がコンピュータにアクセスしている現場に遭遇したような場合だ。もし,このような状況に遭遇したら,コンピュータの調査を中断し,すぐにコンピュータからケーブルを引き抜き,ネットワークから隔離しなければならない。

 不正アクセス者は,自分の存在が知られることを極端に嫌う傾向がある。何者かが自分の存在を嗅ぎ廻っていると察知した不正アクセス者は,コンピュータ上から不正アクセスの痕跡を消し去ろうと試みるだろう。最も簡単なのは,コンピュータのファイル・システムを破壊し,コンピュータをシャットダウンすることである。不正アクセス者がコンピュータに侵入しているのなら,おそらくそのコンピュータの管理者権限も不正アクセス者の手に渡っている。ファイル削除やシャットダウンの作業は容易に行える。

 たとえ不正アクセス者とはち合わせしても,決して取り乱したりせず,冷静に対処しなければならない。相手は手練れの不正アクセス者かもしれない。間違った判断は,取り返しのつかない状況をもたらす恐れがある。

 このような事態に備えて,不正アクセスを受けた場合の対処手順を,あらかじめ決めておくことが望ましい。不正アクセスを受けたコンピュータが重要なサービスを提供している場合,あなたの一存でサービスを停止することは難しい。組織的な観点からの判断が必要とされる。このような状況を想定して,組織の観点から考えた対処手順,緊急時の対策チーム(インシデント・レスポンス・チーム)を準備しておくべきである。

予想される危険

 不正アクセスを受けたコンピュータが,どのような状態にあるかを知ることは難しい。不正アクセスを受けたコンピュータには,後述するrootkitなどを仕掛けられ,コンピュータ全体が不正アクセス者によって操作されている可能性が高い。あるコマンドを実行するとファイル・システムを破壊するといった,いわば地雷のようなプログラム(ロジック・ボム)が仕掛けられていることも考えられる。不正アクセスを受けたコンピュータ上での不用意な操作は,コンピュータの破壊につながる恐れがある。

 バックドア・プログラムが,コンピュータに奥底に隠されている可能性もある。バックドアとは,不正アクセス者が誰にも知られることなく,コンピュータにアクセスできることが可能な安全な裏口である。この裏口の存在を把握することは難しい。

 不正アクセスを受けたコンピュータを調査していると,rootkitと呼ばれるツールキットを発見する場合が多い。rootkitとは,バックドア・プログラムを中心として,不正アクセスに欠かせないツールをひとまとめにしたものの総称である。事後対策の手順を説明する前に,まずは「t0rnkit」を例に,rootkitが備えている機能について紹介しておく。

渡辺 勝弘
 汎用計算機のプログラマ・SE、原子力関係機関のネットワーク管理者を経て、現在は独立行政法人理化学研究所において、コンピュータセキュリティをテーマとした研究・開発に携わる。また同研究所のコンピュータセキュリティ環境の整備も担当するほか、執筆、セミナー講師などの活動も行う。1965年生まれ。東京都在住。家族は妻一人、犬一匹。趣味はギターの演奏と模型飛行機。Webサイトはhttp://www.hawkeye.ac/micky
この連載のほかの回を読む

■専門サイト「IT Pro Security」トップへ■

ウイルスに感染したPC、サーバを1台ずつ復旧処理していませんか?⇒解決策はこちら

シグニチャベースのIPSでは実現が難しい未知への攻撃への対応を可能にしたトップレイヤー製品

ウイルスやワームによる被害をネットワーク機器のレベルで守るシスコセキュリティソリューション

 次へ  前へ

IT5掲示板へ


フォローアップ:


 

 

 

  拍手はせず、拍手一覧を見る

★登録無しでコメント可能。今すぐ反映 通常 |動画・ツイッター等 |htmltag可(熟練者向)
タグCheck |タグに'だけを使っている場合のcheck |checkしない)(各説明

←ペンネーム新規登録ならチェック)
↓ペンネーム(2023/11/26から必須)

↓パスワード(ペンネームに必須)

(ペンネームとパスワードは初回使用で記録、次回以降にチェック。パスワードはメモすべし。)
↓画像認証
( 上画像文字を入力)
ルール確認&失敗対策
画像の URL (任意):
投稿コメント全ログ  コメント即時配信  スレ建て依頼  削除コメント確認方法
★阿修羅♪ http://www.asyura2.com/  since 1995
 題名には必ず「阿修羅さんへ」と記述してください。
掲示板,MLを含むこのサイトすべての
一切の引用、転載、リンクを許可いたします。確認メールは不要です。
引用元リンクを表示してください。