インターネット (00192)

From: Akitaka HOSOMI <hosomi@ga2.so-net.ne.jp>
Subject: Re: インターネット病
Date: 1999/02/07 04:00:37
Reference: internet/00189

毎度。

# 今度は、こっちか。スレッドが跳んじゃって、ちょっと、面倒だなぁ ......



2月6日に、竹田 伸幸さんは書きました。

＞＃ちょっとやり直し。
＞
＞2月4日に、Akitaka HOSOMIさんは書きました。
＞
＞＞で、内容が内容だけに、ユーザから信頼されるべき、サイト管理の立場にある者ならば、
＞＞自分が知った特殊な情報の取り扱いとか他サイトへの配慮などは、当然必要である、と
＞＞考えるわけです。
＞
＞本来、『危弱性の指摘』と『侵入方法の指摘』は異なるものです。
＞『危弱性の指摘』は広くアナウンスするべきであるが『侵入方法の指摘』
＞はアナウンスするべきではありません。
＞
＞例えば、米国CERT/CC とか JPCERT/CC とかの『危弱性の指摘』の内容を
＞みて侵入方法がわかる人って限られます。
＞
＞また、現在は、スキャンツールが簡単に手に入ってしまうという事実を
＞忘れてはいけません。
＞市販されているセキュリティ監査ツールは、使い方を誤れば、スキャン
＞ツールとして利用できてしまいます。
＞
＞有名なのだと、ちょっと古いけど SATAN なんていう WWWブラウザで
＞利用できるセキュリティ監査ツールがありますね。
＞指定したホストの＊既知の＊セキュリティホールを見つけてくれる
＞ものです。
＞
＞あくまでバージョンなどから、既に知られている問題の有る設定や
＞ソフトウェアが動いていないか調べるだけです。知識がなくても
＞そのホストには、どんな問題が有るかはわかるでしょう。ただ、
＞問題を指摘するだけです。
＞
＞問題が有るとわかっても、それでどうやったら侵入できるかという
＞のには、それなりの知識が必要です。
＞
＞実際、米国CERT/CC とか JPCERT/CC とかが『危弱性の指摘』の内容を
＞アナウンスすると、それを試みたと思われる不正アクセスが増えることは
＞広く知られています。しかし、実際に侵入経路までわかっていてアクセス
＞するのはごく一部ですあるのも事実です。
＞
＞＃ 例えば、『○○には財宝が間違いなく眠っている。』って、報道
＞＃ されれば、もの好きな連中が探しにいくかも知れませんが、実際
＞＃ にも知られず財宝見つけられる人なんて、限られますよねぇ。
＞＃ それと同じ話 :)
＞
＞古い qpopper のセキュリティホールや phf の問題を、一般の人が
＞知っても、それで具体的にどう侵入するかわかり、実際侵入できる
＞人は少ないでしょう。
＞
＞＃ qpopper のバッファオーバフローさせて、コードを送り込む
＞＃ なんて、16進数ダンプリストを直接、読んだり書いたりできる
＞＃ 人でないと最低限無理でしょうねぇ。
＞
＞インターネットマガジンや INTERNET watch などでも、セキュリティ
＞ホールをアナウンスすることもありますね。
＞そのアナウンスで、問題が有ることは、多くの人に知られるけど
＞どう攻撃するかわかる人は限られるでしょう。
＞
＞侵入するような人はアンダグランドで継っているので、するような
＞人は、CERT などでアナウンスされる前に気づいているかもしれません。
＞
＞スキャンが誰でもできてしまい、サーバの危弱性は、簡単にばれて
＞しまうという現状では、それを前提で、考えなければいけません。
＞
＞
＞もちろん、『侵入方法の公開』なんてのは問題外です。
＞
＞そういう意味で、昔 Windows NT でサーバ権限を乗っとる方法が有ると
＞アナウンスされたことがありましたが、
＞それだけでなく、 具体的なソフトまで雑誌とかで紹介されたのは、
＞何だかなぁとは思います。


竹田さんの言われる、『危弱性の指摘』と『侵入方法の指摘』との区別↓、

＞『危弱性の指摘』は広くアナウンスするべきであるが『侵入方法の指摘』
＞はアナウンスするべきではありません。

これは、その通りであると、わたしも同じように考えています。

ただ、危弱性の指摘については、これは、本来、サーバのプログラムを利
用する上での問題点を指摘すれば良いだけの話しであって、それと判るよ
うな具体的なサイトまで巻き込んでしまうのは、このような公開された会
議室の投稿記事としては、やはり、少し配慮が足りなかったのではなかろ
うか？と思っています。


もし、このわたしが、その手のアブナイ連中の一員であるとしましょうか。

わたしなら、近くでそれらしき手ごろな情報を目にすれば、実際にそのサ
イトの防備が堅いの甘いのに関係なく、まずはチャレンジということで、
早速、仲間に連絡して、明日からでも、アタックレースを始めてしまうか
も知れません。

さらには、自分では、無理でも、仲間のオタッキーな誰かが、偶然にせよ、
必然にせよ、実際に成功してしまうかも知れないのです。


しかしながら、現実には、わたしがそういう行動をとるかどうか？や、実
際に、そういうアブナイ連中と繋がりを持っているかどうか？は、このわ
たし以外には、判らないわけですよね。

もし仮に、わたしがアブナイ連中の仲間だと判断されてしまった場合、そ
の判断基準は、一体、だれの判断基準を用いたものなのでしょう。また、
そのことに対して弁明するチャンスすら与えられずに、私が接続に使った
 IP アドレス がアヤシイのだ、などとサイト管理者から疑われても良い
ものなのでしょうか？


実際、相手を疑い出したら、キリがないとは思いませんか？

このような疑心暗鬼に基づく相互不信こそが、その手のアブナイ連中以上
に、参加型のネットワークに対する直接的な脅威になり得ると、わたしは
考えています。

そのため、その手のアブナイ連中の、ことさら大きな影ではなく、等身大
の姿をキチンと把握しておく必要がある、と、わたしは考えています。



で、よく判らないので、お聞きしたいのですが、竹田さんは、

＞スキャンが誰でもできてしまい、サーバの危弱性は、簡単にばれて
＞しまうという現状では、それを前提で、考えなければいけません。

と、記事の中で、ポートスキャンを受けることへの危険性を指摘されてい
ます。

しかしながら、

  アタックなり侵入なりの具体的な方法が判る者は、ごく限られている

と、実害を被るような場合は稀、とも受け取れる指摘も、同時に、行なわ
れています。



で、実際のところ、

  ポートスキャンを受けたことは、アブナイ連中の脅威と結びつけて警戒し
  なければならない危険な行為なのか？

それとも、

  スキャンされたところで、実害には、殆ど結びつき難いので、然程、心配
  する必要もないのか？

どちらなのでしょう？