現在地 HOME > 掲示板 > IT5 > 375.html ★阿修羅♪ |
|
Tweet |
ニュース
2004/04/08 12:00 更新
第1回
Microsoftネットワークの監視で見えてくる、Windowsの裏側 (1/2)【IT_Media記事】
http://www.itmedia.co.jp/enterprise/0404/08/epn01.html
MSネットワークによるファイル共有は、今では企業ネットワークで当たり前のように利用されている。だがその裏側では、知らないうちに重要な情報がやり取りされているのだ。
企業内ネットワーク(以下、イントラネット)では、インターネットとは異なり、Microsoftネットワーク(以下、MSネットワーク)が利用されていることが多い。Linux/Sambaもがんばってはいるが、ファイルやプリンタの共有を簡単に実現できることもあって、イントラネットではクライアントOSとしてWindowsが広く普及しているのが現状だ。
さて、このように日常的に利用されているMSネットワークであるが、実際にネットワーク上にはどんな情報が流れているかとなると、意外と知られていない。便利なものの裏には危険が潜んでいるとはよく言われることだ。MSネットワークの場合はどうなのか、実際の挙動を探ってみよう。
MSネットワークの「不思議」
日ごろイントラネットでWindowsパソコンを使っている人ならば、当たり前のように「マイ ネットワーク」を開き、ネットワーク上にあるコンピュータや、そのコンピュータ上で共有しているフォルダやプリンタをクリックして、仕事で利用したことがあるだろう。
もはやユーザーにはおなじみの「マイ ネットワーク」の画面
Windows MEやXPでは、ネットワークのプリンタとフォルダの自動検索機能(Windows MEでは「ネットクロール機能」と呼んでいる)が追加され、デフォルトで有効になっている。この機能によって、「マイ ネットワーク」を開くと、ネットワーク上の共有フォルダの一覧が自動的に表示されるようになった。もはやWindows 95のころのように、ドメイン/ワークグループやコンピュータのアイコンを1つひとつ選択していかなくても、画面に表示されている共有フォルダをクリックするだけで、ネットワーク上のリソースを簡単に利用できるのだ。
このようにMSネットワークの利用環境がどんどん便利になっていくのはうれしいことだ。だが一方で、「いったいどういう仕組みで、クリックするたびにネットワークの情報が表示されていくのだろうか」「MSネットワークは、ユーザーの知らないところでどんなことをしているのだろう」といった疑問も湧いてくる。
実は、われわれが普段何気なくコンピュータを使っているその間に、裏側では、ユーザーが意図しない動作が自動的に行われているのである。そんなMSネットワークで実際に起こる不思議な現象を、いくつか取り上げてみよう。
自動的に漏洩されるコンピュータ情報
朝、会社でパソコンの電源を入れ、Windowsを立ち上げる。続いておもむろにIDとパスワードを入力し、ログオンする――といった動作は、ユーザーにとってはいつもの、ごく当たり前の作業に過ぎない。
だが、こうしてWindowsが立ち上がったとき、裏側では端末のコンピュータ名やOSのバージョン情報が、ネットワークに自動的に流されているのだ。さらに、ユーザーがWindowsにログオンしたときには、そのユーザー名が自動的に送り出されている。
こういった動作が行われるもっともな理由もある。「NetBIOSネームサービス」や「ブラウザサービス」と呼ばれるサービスに、コンピュータやユーザー名といった情報を通知する必要があるからだ。
もちろん、ここで通知を止めることもできる。しかし、こういった情報がネットワークに通知されないと、普段何気なく行っていたはずの作業に支障がでる可能性も高い。つまり、「マイネットワークのコンピュータ一覧に目当てのコンピュータが登場しない」「コンピュータ一覧には存在するが、クリックしてもそのコンピュータにつながらない」といった、MSネットワークでしばしば発生するトラブルの原因になるのだ。
勝手に送信されるパスワード
パスワードは、自分だけの秘密にしておかなければならない非常に大切な情報である。Windowsへログオンするには、パスワードを入力しないといけない。この、ログオン時に入力したパスワードが、ネットワークに勝手に送信されてしまうことがあるのだ。
これも、サーバへログオンするような場合ならば、当たり前の動作だろう。しかしそうではない場合、たとえば「マイ ネットワーク」に表示されているコンピュータのアイコンをクリックしたときでさえ、まず、そのコンピュータへ接続するために、ログオン時に入力したパスワードが送信されているのだ(*注1)。
このとき、接続先のコンピュータに当該ユーザーのアカウントがあるかどうかや、同じパスワードを使用しているかといった事柄は、まったく考慮されることはない。アイコンをクリックすればとりあえず、自分のアカウントとパスワードが送信されてしまうのである。
時にはコンピュータアイコンをクリックした後、ユーザー名とパスワードの入力を促すダイアログボックスが表示されることもある。だがそれは、すでにパスワードが送信され、接続に失敗した後なのだ。
(*注1)実際には、入力したパスワードの文字列は暗号化された上で送信される。Windowsの認証機構では、OSのバージョンやセキュリティポリシーの設定などによって、複数のパスワード暗号化方式が使われている。だが、それらのうち古い暗号化方式を用いており、しかもユーザーが簡単なパスワードを設定していた場合、パスワード推測ツールを用いて簡単に推測されてしまうことが分かっている。
| 1 2 | 次のページ
[有元伯治(セキュリティフライデー),ITmedia]
Copyright(c) 2004 Softbank ITmedia, Inc. All Rights Reserved.
第1回
Microsoftネットワークの監視で見えてくる、Windowsの裏側 (2/2)
http://www.itmedia.co.jp/enterprise/0404/08/epn01_2.html
共有フォルダの自動検索機能で無差別アクセス?
先にも触れたが、Windowsの共有フォルダの自動検索機能は、ユーザーが「マイ ネットワーク」を開いたタイミングなどでネットワーク上の共有フォルダを検索し、見つかったフォルダを画面に表示してくれる、とてもありがたい機能だ。
ただ、検索の仕方が少々荒っぽい。具体的には、ネットワーク上のコンピュータに対し、片っ端からユーザー名とパスワードを送信して接続を試みているのである。そして、接続できたコンピュータから共有フォルダの一覧情報を取得し、画面に表示している。
PC上に共有フォルダが検索、表示されている裏では、周囲のコンピュータに対して接続を試み、失敗しているというわけだ。しかもこのとき、ログオンしているユーザー名をそのまま認証に使うので、まるで自分がネットワーク上のコンピュータにアタックしているかのように見えてしまうのだ。
フォルダ オプションの中で「共有フォルダの自動検索」を設定する。画面はWindows XP Pro(以下同)
認証に使われないパスワードも送信
Windows XPでは、簡易ファイルの共有機能も追加された。この機能もデフォルトで有効になっている。設定画面を見てもらえば分かるが、この機能は有効のままにしておくことが推奨されている。
同じくフォルダ オプションの中に「簡易ファイルの共有」に関する設定があり、「推奨」とされている
この機能を有効にしていた場合、共有フォルダに接続してきたすべてのユーザーに対して、「GUEST権限」でのアクセスを許可することになっている。だが実際のところは、どんなユーザー名とパスワードを送信したとしても共有フォルダに接続されるのだ。しかし接続元のコンピュータは、この機能が有効になっているコンピュータの共有フォルダに接続するたびに、自分のユーザー名とパスワードを送信してしまう。
他人からフォルダが丸見え?
別のコンピュータからファイルを移動させたり、コピーしたいといったときに、フォルダを一時的に共有することがあるだろう。だが、そのまま共有を解除し忘れて、いつの間にか、他人からそのフォルダが自由にアクセスできるようになっている……などということはないだろうか。簡易ファイルの共有機能が有効になっている場合、これもありえない話ではない。
簡易ファイルの共有機能が有効になっていると、誰でもそのコンピュータに接続できることは先ほど述べたとおりだ。
共有フォルダを見られてしまうのを防ぐには、フォルダへのアクセス制御を設定し、アクセスを制限するしかない。しかしこれも、デフォルトでは誰にでもアクセス可能なように設定される。つまり、誰もがそのフォルダの中身を見ることができるのである。
共有フォルダの設定
たとえ、フォルダを共有したことを誰にも知らせなくとも、自動検索機能で簡単に見つけられてしまう。共有フォルダの所在を教えていないユーザーからも、勝手にアクセスされている可能性がある。
ドメイン環境ならば大丈夫?
Windows 2000から導入されたActiveDirectoryのドメイン環境の場合、事情は、これまで述べてきたものと若干異なる。Kerberos認証という、パスワードが送信されない認証方式が使われているからだ。またドメインに所属するコンピュータでは、簡易ファイルの共有機能を有効にすることもできない。
ただし、ネットワーク上にWindows NTやWindows 98のコンピュータが混在したり、ドメインに所属していないコンピュータが混在していると、それらのコンピュータに対しては、やはりパスワードが送信されてしまう。
便利さとのトレードオフ
ここまで、MSネットワークで起こる現象をいくつか紹介してきた。MSネットワークは便利な機能を提供してくれる反面、それを実現するために、自動的に余計な情報を漏らしてしてしまっているのである。
自社のMSネットワークで何が行われているかを知るためには、実際にネットワークを監視してみるとよいだろう。思いがけず、ファイルサーバへの不審なアクセスやパスワードの盗用といった行為が見つかるかもしれない。
次回は、MSネットワークを監視する具体的な方法とツールについて紹介したい。
関連リンク
セキュリティフライデー
前のページ | 1 2 |
[有元伯治(セキュリティフライデー),ITmedia]
Copyright(c) 2004 Softbank ITmedia, Inc. All Rights Reserved.