サイバークライムひゃくまん人 山崎俊一 2001/03/28

　米国のeコマース・サイトから顧客情報が漏洩している、ロシア、ウクライナ方面から侵入が続いている、という噂が昨年から流れていました。疑われたのは、オンライン販売のAmazon.comですが、3月6日、実際に漏洩したのはAmazon傘下のBibliofindで、推定被害9万8000件と一般紙に報道されました。被害の拡大を恐れたFBIはMicrosoftと共同で、捜査情報の中途公開に踏み切りました(3月8日)。異例の事態です（FBIの警告ページ［英文］）。

セキュリティ神話はなかった

　被害の規模は大きく推定40社、100万人以上のクレジットカード番号、氏名、電話番号などが漏洩していた可能性が指摘されています。マスコミは大騒ぎですが、世間一般の反応は意外と冷静と伝えられています。

　前にもあったことだし、そもそもWebのセキュリティなんて危なっかしい、クレジットカードなんか怖くて使えない、というのが常識になっているのかもしれません。

常套手段、バッファ・オーバーフロー

　振り返ってみると、1998年2月、米軍などのサーバ1000台以上が侵入を受けるという事件がありました（Solar Sunrise事件：本稿の最後を参照）。

　このとき使われたのは、SolarisのRPC（Remote Procedure Call）系コマンドのバグをつき、確保したバッファのサイズを越えるデータを書き込むことで、意図的に不正な動作をさせるという手法です。通称「バッファ・オーバーフロー（buffer overflow）」と呼ばれ、同様のバグを抱えるUNIXコマンドは多数見つかって、今でもWeb侵入の常套手段になっています（LinuxもNTもほぼ同様。バッファ・オーバーフロー問題に関する詳細［英文］）。

DNSジャック

　インターネットの基本サービス、DNS（Domain Name Service）のBIND（Berkeley Internet Name Domain）にも同様な弱点があります。なかでも1999年7月、米ネットワーク・ソリューションズ（NSI）社（ドメインの登録機構『InterNIC』を管理運営する会社、つまりネットの大もと締め）へのクラックは有名です。最近では、イスラム過激派Hammasのページがポルノ・サイトにリダイレクトされるといった宗教的冒涜事件など、被害例は無数にあります。

RDS脆弱性

　一方、今回狙われたのは主にマイクロソフトのIIS（Internet Information Server） 3.0、4.0をWebサーバとして使用しているeコマース・サイトで、MDAC（Microsoft Data Access Components ）のRDS（Remote Data Service）データファクトリ・オブジェクトが侵入経路と伝えられています。

　これは、1998年7月にセキュリティ対策済み、公開済みの古典的バグで、つまり、侵入されたWebの設置者は、3年近く更新せずにバグのある旧バージョンを放置していたことになります（RDSパッチ情報［英文］）。

非破壊型妨害工作：Denial of Service（DoS）

　窃盗ではなく妨害だけが目的なら、もっと陰湿な手もあります。DoS（Denial of Service）、直訳すると「サービス拒絶」とは、冷蔵庫のドアが開いていると中は冷えない、といった手法です。

　1999年4月、ケンブリッジ大学などのWindows 95マシン約6000台をクラッシュさせた“WinNuke”は、初歩的なDoSと考えられます。ネットワークの上では、例えば“ping”コマンドを無限に発行することでパケット洪水を起こし、トラフィックを麻痺させる、といった手段を使います（用語解説：DoS攻撃）。

DDoS：分散型DoS（Distributed DoS）

　こちらはネットワーク上の複数の拠点から、妨害の対象となるサイトへ同時にDoS攻撃を仕掛ける手法です。あらかじめ第三者サイトにもぐりこみ、基本ワザであるバッファ・オーバーフローなどでDoSデーモンをばら撒いておいて、一斉に起動するという2段階戦略になります。

　デーモンの数は数百かそれ以上だったりして、集中攻撃を受けたサーバは負荷に耐え切れず停止するか、動いていても有効バンド幅がゼロになってしまいます。

直截な防御策はない

　DDoSの標的にされたサーバは、別に不具合があるわけでもなく、セキュリティ侵害でもなく、技術的には正常です。一見すると膨大なユーザーのアクセスに見えて、攻撃が止まれば正常に戻り、損傷もありません。だから厄介です。

　この手で、2000年2月、Amazon、CNN、E*TRADE、Yahoo!、eBayなどへの連続攻撃、今年1月26日の米Microsoftと軒並み被害が続きました。Microsoftの場合、発端はDNSの不具合で、一時回復後にDDoS攻撃で2回目の停止に追い込まれたようです。

戦うDDoS

　DDoSは、ツールキットのような形で流布されています（TFN、TFN2K、Stacheldraht、Smurf、trinooなどなど）。例えば、アフガンの原理主義勢力タリバン、パキスタン軍情報部：SIS系列の一派（インド・パキスタン核競争）、セルビア系旧勢力（反ユーゴスラビア空爆）などが利用しているようです。

　昨年来のテルアビブ騒乱も、サイバー泥試合になっています（この事件に関する大阪読売新聞の記事ページ：http://osaka.yomiuri.co.jp/int/in01023.htm）。見かねた（？）Solar Sunrise事件の真犯人、イハード・タネバウム（Ehud Tenebaum）氏がボランティアをかってでて、双方にWeb防衛を指導して歩いたという、冗談みたいな実話もあります。

HotWired の誤解

　冗談といえば、Microsoft.com停止について、ワケの分らない報道もありました。

「サイトの再ダウンで疑問視されるMSの『ドット・ネット』計画」

　DDoSを知らなければ、そう見えるかもしれません。でも、実際にDDoSが侵入したのはMicrosoftではなく第三者のUNIXサイトであり、それらの不正動作の結果、Microsoftが麻痺したという形です。疑問視されるのは、spoof、つまりデーモンを食らったSolarisやLinuxのセキュリティ・ホールではないでしょうか。

　ちなみに、CERT（Computer Emergency Response Team）が指摘する問題点を表に挙げます。いずれも最新バージョンでは解消されています（CERTのホームページ）。

セキュリティ・ホールの例

BIND：*nxt, qinv、その他多数

CGIやサーバ・エクステンション・プログラムのバグ（例 ColdFusion）

RPC：rpc.ttdbserverd（ToolTalk）、rpc.cmsd（Calendar Manager）、rpc.statdほか

SendmailおよびMIMEのバッファ・オーバーフロー

sadmind（Solaris）およびNFS mountdの脆弱性

RDS：Remote Data Serviceのセキュリティ・ホール（MicrosoftのIIS）

ファイル共有および情報共有の不適切な設定 　　　NetBIOSで共有 　　　Windows NTのポート135〜139（Windows 2000のポート445）利用 　　　UNIX NFS のエクスポート（ポート2049） 　　　MacintoshのWeb共有またはAppleShare/IP（ポート80、427、548）

CERTが指摘するセキュリティ・ホールの例

資料出典：The CERT Coordination Center （CERT/CC）。米国立セキュリティ情報センター。カーネギメロン大学ソフトウェア工学部門が運営。最も正確な情報源です（CERTのホームページ）。日本語訳はこちら（CERTドキュメントの日本語訳のページ）。

アップデートはこまめに？

　以上から分るように、ウイルスとかサイバー攻撃の中身は、バグ拾い寄せ集めのごみ屋敷みたいなものです。

　したがって、ソフトウェアのアップデートなど当たり前の基本を守れば99.99%は防ぐことができます。ところが実際は、数年間ほうっておく人もいるから、こうなってしまったというのが現状なのでしょう。

　今回、Amazon社広報は、漏洩があったのはBibliofindだけで、Amazon本体の顧客情報（3000万件以上）は安全だった、同社の基本システムは2重化されていて、今回の事件はその安全性の逆証明だ、とか語っています。

　ずいぶんふざけた言い訳ですが、これだって実は、昨年10月ごろ、被害に気付いた同社が密かにMicrosoft本社（隣同士）に駆け込んで、急遽Windows 2000サーバのデータベース系を増設し顧客情報を移した、というのが実態と噂されています。

　要するに、Web上でクレジットカードは使わないほうがいい。面倒だけど、郵便振込みやFAX申し込みの方が安心ということなのでしょうね。

山崎俊一（やまざき しゅんいち）
CD-ROMの標準化やSGMLの標準化作業に参加。ドキュメンテーションとコンピューティングの接点で古くより活躍する。またパーソナル・コンピュータの可能性にいち早く注目し、MacintoshやMS-DOS、Windowsのヘビーユーザーとして、コンピュータ関連雑誌、書籍などで精力的な執筆活動を展開、業界の隠れた仕掛人である。

「Opinion」