連載
» 2013年05月28日 18時00分 UPDATE

川口洋のセキュリティ・プライベート・アイズ(46):きっかけは不正侵入――私がセキュリティ業界に足を踏み入れたワケ (1/2)

セミナーなどでいろんな方にお会いする中で、しばしば「川口さんはどうしてこの業界(会社)に入ろうと思ったんですか?」という質問をいただきます。今回はずばり、その疑問にお答えします。

[川口洋(株式会社ラック チーフエバンジェリスト CISSP),@IT]
「川口洋のセキュリティ・プライベート・アイズ」のインデックス

連載目次

「どうしてこの業界に?」という質問にお答えします

 皆さんこんにちは、川口です。5月のゴールデンウィークも終わり、今年新入社員になったばかりの人は5月病になっていないでしょうか。株式会社ラックにも目をキラキラさせた新入社員が入ってきて、一生懸命研修に取り組んでいます。彼らの未来に期待したいところです。

 このコラムや@ITのセミナーを通じていろんな方にお会いする機会があるのですが、しばしば、「川口さんはどうしてこの業界(会社)に入ろうと思ったんですか?」という質問をいただきます。そこで今回は、私がセキュリティ業界に足を踏み込むことになったきっかけをご紹介しましょう。

きっかけは、大学院時代の不正侵入

 一言で言ってしまうとそのきっかけは、当時自分が所属していた大学院の研究室への不正侵入です。これを機に、セキュリティを意識するようになりました。

 当時、私が所属する研究室では、大学院生がシステムを管理する伝統となっていました。2000年4月に大学院に進学した私が、勉強がてら過去の研究室のメーリングリストのログを眺めていたところ、ふとあるメールが目に留まりました。

 誰かサーバで sn1ffer というプログラムを動かしていますか?

 サーバが /dev/xdd21/sn1ff/sn1ffer というプログラムが多数動いて過負荷に

 なっていたので再起動しておきました。

 知っている人は教えてください。


 1カ月前に、研究室の先生がサーバの負荷状態についてこのようなメールを送っていたのです。そのメールが送られた当時、私は学部生で卒業論文作成に追われていたうえ、先輩の管理者が在籍していたこともあって全く気に留めていませんでした。しかし、このときは「sn1ffer」という名前がひっかかったのです。

 多くの方はお気付きだと思いますが、この「sn1ffer」は、盗聴プログラム「sniffer」をもじったものです。春休みの間に有り余る時間を使ってネットの海を泳いでいる間に「Shadow Penguin Security」(懐かしい人もいることでしょう)などを見ていたおかげで、snifferという盗聴プログラムが存在することをたまたま知っていたのです。

 「盗聴? え? そんなことあるの?」と軽くパニックになった私は、問題のサーバにログインしてみました。いくつかコマンドをたたいて調べてみた結果は以下のようなものでした。

  • /dev/xdd21/というディレクトリは/devディレクトリで lsコマンドを実行しても表示されない
  • cd /dev/xdd21/というコマンドで移動することは可能
  • その非表示ディレクトリ(/dev/xdd21/)にいくつかのプログラムが配置されている
  • ls、ps、pstree、netstatなどのプログラムが配置されている(トロイの木馬と推定)
  • sn1fferプログラムと同じディレクトリにログファイルらしきものがある
  • sn1fferのログを確認すると多数のユーザー名とパスワードが記録されていた
  • もちろん自分のアカウントや管理者アカウントも含まれていた
トロイの木馬が仕込まれたディレクトリの一覧

 このsn1fferのログを見た瞬間に覚えた絶望感は今でも忘れられません。とっさに思ったのは、

「みんなのパスワードが記録されているのはまずいから、とりあえずこのログだけは消しておこう」

ということでした。まずrmコマンドでログファイルを消去した後に、今後の対応を検討し始めました。

 今思えば、インシデントレスポンスとしてはこの対応は間違っていたなと思うわけですが、セキュリティどころかITの知識もなかった当時の私では仕方なかったなと思っています。

 研究室の先生に相談してみたところ、1998年から1999年にかけてあちこちのネットワークで不正侵入事件が発生していたらしく、ファイルの作成日付を見ると、どうもその時期から1年以上不正侵入が継続していたようです。問題となったこのプログラムが動作していたサーバはWebサーバ兼メールサーバ兼ルータの役割を担っている古いRedHat Linuxでした。不正侵入されているとはいえ、これらの重要な役割を担っているサーバをできるだけ停止させずに、再構築をすることになりました。

 それから数日間、研究室にほぼ泊まり込みのような状態で研究室のサーバ全体の再構築を開始しました。しかし、当日の私は「サーバ=Webサーバ」と思っている程度の、リテラシーの低い学生でした。セキュリティ以前にITの知識がまるで足りません。さらに、助けを求めようにも、学科の中にはセキュリティのことが分かる人がいません(大学全体を探せばいたのかもしれませんが、その人へのつてもありませんでした)。研究室に置かれている書籍と過去の構築メモを読み、試行錯誤しながら再構築を行いました。

ラックとの出会い

 2000年といえば「不正アクセス行為の禁止等に関する法律」が施行された年ですが、セキュリティの情報が非常に乏しく、情報収集に苦労した覚えがあります。当時は以下のような情報収集をしていました。

 まずはサーバ構築に関する書籍を買いあさりました。サーバのセキュリティ以前に、サーバを動作させることが大前提です。サーバを正しく動かすことができるように書籍を買いあさりました。幸い、研究室の費用で書籍代をまかなえたので、「セキュリティ」「サーバ構築」「システム運用」というキーワードが入っている書籍を片っ端から買って読みあさりました。

 次に、いろんなWebサイトを見まくりました。当時はセキュリティ関連情報が今ほどオープンになっておらず、アンダーグラウンドなサイトに多くの情報が蓄積されていたので、ハッキングやウイルス感染におびえながらアングラなサイトを巡回した覚えがあります(もっと古い人の中には、「アダルトサイトにしか情報がなかった時代もあるんだ」と言っていましたが、真偽のほどはわかりません(笑))。

 メーリングリストにも登録しました。今ではあまり流行っていませんが、当時はPush型の情報流通の方法としては一番メジャーだったのではないかと思っています(さらに古い方の中には「ニュースグループだろ」という人もいるかもしれませんが)。「セキュリティ」や「サーバ」と名のつくメーリングリストを探しては登録して、ひたすら読んでいました。

 そして一番大きな影響を受けたのが、サーバ構築やシステム管理に関する社会人の勉強会に参加したことです。社会人が「どうやってシステムを落とさずに運用するか」「新システムをどう構築するか」について話し合う勉強会に乗り込んでいきました。

 当時は地方在住だったため、都市圏に移動するのも交通費が厳しかったことを覚えています。学生という立場に甘えて、優しい社会人の先輩にたくさんのことを質問し、教えていただきました。それに対し、学生が勉強会に来ていることが珍しいのか、皆さんから丁寧に回答していただいたことが今でも記憶に残っています。特に、「システム管理者の眠れない夜」が大好きだったので、著者の「柳原 秀基」氏に会えた時は、アイドルに会えたかのように感動したことをを覚えています。

 そんな活動をしているうちに大学院1年も終わりに近づき、就職活動を意識する時期になってきました。「セキュリティ」に関することを仕事にするのも悪くないなあと思っていたところ、非常に多くのメディアに露出している会社がありました。それが今いる「ラック」です。当時は「Firewall Defenders」という団体を運営しており、かつ多数の社員がイベントや執筆に関わっていたことから、「こういう活動が認められる会社なんだ」という印象を持ちました。そして「とりあえず就職説明会に行ってみるか」という軽い気持ちで説明会に行ってみました。

 実はこのとき、全く就職活動の対策をせずに就職説明会に参加したのですが、説明会の後、「筆記試験をやりますので希望者は残ってください」と言われ、かなり焦りました。「説明会だけじゃないの? 試験やるの? 参加者のうち半分くらい帰らないかな」と思いましたが、帰る人は誰もおらず(当たり前ですが)、筆記試験を受けることになりました。結果的には何とか筆記試験、面談と合格してラックに入社することができました。世間の就職活動を頑張っている(or頑張っていた)学生さんには大変申し訳ないくらい適当な就職活動でした。

 このように、恥ずかしながら就職活動は1社しかしていない大変ナメた学生だったのですが、社会人の勉強会に参加することで、ITシステムに関わる人の働き方や悩みに触れることができていたのが非常にいい経験になっていました。

 また、研究室のシステムが不正侵入を受けて、システムを再構築したとき「セキュリティがダメだと家に帰れないんだな」と学生ながら学ぶことができたのも大きな経験でした。「ITに関わる人が家に帰れるようにセキュリティを何とかしよう」という思いが、今も昔も、私がセキュリティ業界に関わっている原動力です。

       1|2 次のページへ

Copyright© 2017 ITmedia, Inc. All Rights Reserved.

@IT Special

- PR -

TechTargetジャパン

この記事に関連するホワイトペーパー

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。