トピックス記事     カテゴリ : セキュリティ

悪意のあるコードが仕込まれれば

フリーソフトは C、perl、PHP、python、rubyなど様々な言語で書かれ、ソース提供、バイナリ提供などの形で公開されている。
Visual Basic、Delphi、Java、Excel、FileMakerで書いたものもある。
ソースで提供されているソフトウェアを使う場合、C言語なら make、configを実行してサーバーにインストールする。
これらの作業は、ある程度の技術レベルが必要なので、利用者はソフトウェアの選択眼があるだろうから、危ないソフトウェアを掴む可能性は少ないだろう。(見よう見まねで make、configをすれば、悪意のあるコードを仕込まれたとき最悪になる。)
2008年5月。多くのWebサイトで利用されているオープンソースの掲示板システム「phpBB」が狙われた。脆弱性がある古いphpBBを使ったWebサイトに不正侵入しJavaScriptのコードを書き込み、このWebページにアクセスしたユーザに用意したYouTubeのような動画配信サイトを表示する。そして、動画を再生するには新しいコーデックをインストールする必要があるという警告メッセージで、指示に従わせ「Zlob/ゼットロブ」ウイルスをダウンロードさせる手口だ。Zlobはパソコンのデータを書き換えフィッシングの準備を行う。50万以上のサイトが改ざんされたといわれる。

ソースコードなら、内容を読むことができるが、コンパイル済みのバイナリコードでは逆コンパイラ、逆アセンブラをかけないと中身はわからない。ソースコードでも見通しを悪くしたり難読化して、動作をわかりにくくすることができる。
しかし、いずれにしろ「悪いことをせず」動いてくれることを確かめるにはコードを読むしかない。

プログラムを追いきれそうもなければ、目の前のパソコン、サーバーでテスト稼働してみることは、何もしないよりはましだろう。

フリーソフトを試験用のサーバーにインストールし、ルーター、ファイアウオールの表示LEDの点灯、ハードディスクの動作、ルーター、ファイアウォールのログに残るパケットの様子などを調べるのだ。プロセスの稼働状況も確認したい。

自分で評価を行うのは手間もかかり大変だ。
インターネットにはセキュリティに関する様々な情報がある。
利用したいフリーソフトの信頼できる情報を集めて確認し、それを信じる方法もあるが、報告の次期と対象バージョンが使いたいものと異なると、意味はない。


Comments

Add Comment

このアイテムは閲覧専用です。コメントの投稿、投票はできません。
 
Copyright | 8 Peaks Inc. | Saku City NAGANO | 0267-82-7082 | Back to top