トピックス記事     カテゴリ : セキュリティ

フリーソフトの保証は

セキュリティホールがあるCGIが見つかれば、次のようなことができる可能性がある。
  • 任意の宛先にメールを送信する。
  • Spamメール(迷惑メール)の送信元になる。
  • サーバーからデータを抜き取る。
  • SQLインジェクションによりデータベースの閲覧、検索、削除などが可能になる。
  • システムコマンドを実行する。
  • コマンドインジェクションで、システム操作、プログラムの実行、ファイルの閲覧、作成、削除が可能になる。パスワードファイルも奪取できる。
  • サーバーに侵入する。
  • ユーザ権限が手に入る。root権限の奪取もある。root権限を取ると何でもできる

「できた! -> 使ってもらおう」の危うさ

ソフトウェアは「動く」だけでなく、「安全に動く」ことを確認するための、システムテストが不可欠だ。

「プログラムテスト」「システムテスト」は地味で根気が必要な仕事だが、これを行うのと行わないのでは安全性がまったく異なる。東証の次月繰り越し処理で起きたシステムダウンも、システムテストの穴だ。(2005/10/31)

自分で使うためのソフトウェアは「動いた」->「使おう」というレベルだから、テストがおざなりになっても不思議はない。
トロイことで超有名な誰でも知っている某ポータルサイトのブログページのソースコードを覗いてみたら、一度も使われないスクリプトや、エラーになるスクリプトがあった。どうやらコードを書いたあと検証を行っていないらしい。
セキュリティホールのチェックは行っているのだろうか。



フリーソフトは、「いいソフトができた」「自分でも役に立つから、きっと他人も喜んで使うだろう」というようなレベルでスタートする。このようなソフトウェアは、設計時点でセキュリティ対策が意識されていなければ、侵入のカモになる可能性が高い。

IT犯罪は、被害者でありながら同時に加害者なるケースが多い。
責任不在のフリーソフトに安全を期待するのは、ムシがいい。
利用するフリーソフトは吟味して選び、メンテナンスが行われているか、セキュリティは保たれているかをバージョンごとに確認し、セキュリティホールがありそうだと思ったら利用は止めるべきだ。

フリーソフトには、大概以下のような文が付いている。
  • ライブラリの一切の動作は保証しません。
  • 運用結果について、いかなる責任も負いません。

Lhazでパソコンが乗っ取られる(2007年8月18日)
日本でよく使われている「ファイル圧縮・解凍ソフト「Lhaz」のセキュリティホールから侵入し、パソコンを乗っ取るウィルスが現れた」と米シマンテックと米マカフィーが発表した。
ぜい弱性が見つかったのは、LHAZ v1.33。悪意を持つzipファイルを解凍するとトロイの木馬BackDoor-CKBのバックドアを作られ、攻撃者はこのバックドアから入り込みパソコンを乗っ取ることができる。Lha関係では、Lhacaでパソコンが乗っ取られる騒ぎがあった。(2007年6月25日)

lzhの拡張子は日本のものと思ってはいけない。
2010.11月に経産省への侵入を狙った「SUBJECT:最新資料送付 取り扱い注意」のメールの添付ファイル「meito.lzh」にはバックドアを作るウイルスが仕込まれていた。感染すると知らないうちにPC内のデータを指定先に送信するものだ。メールは中国のサーバー経由で送られてきた。


Comments

Add Comment

このアイテムは閲覧専用です。コメントの投稿、投票はできません。
 
Copyright | 8 Peaks Inc. | Saku City NAGANO | 0267-82-7082 | Back to top