連載
» 2004年07月28日 10時00分 公開

Security&Trust ウォッチ(26):標的にされる無防備なコンピュータ

[上野宣,@IT]

 @ITをご覧のみなさまは、普段から会社や自宅でインターネットを活用されているだろうから、いまさらいうまでもないことと思うが、インターネットに接続しているとウイルスやワーム、不正アクセスのたぐいがまん延している。これらは決して他人事ではなく、インターネット利用ユーザーすべてに関係することである。それを知っている皆さんは、OSやソフトウェアのアップデート、アンチウイルスソフトの導入などを行っていることだろう。

 それでは、インターネットに接続しているコンピュータが一番危険な状態をご存じだろうか? それは、買ってきたばかりのコンピュータ、またはOSをインストールしたばかりの真新しい状態のコンピュータがインターネットに接続された瞬間である。この危険な状態はWindowsだろうが、Linuxだろうがほとんど同じである。この状態は、OSが最新のバージョンであったとしても、最新の修正パッチが導入されていない。また、アンチウイルスソフトやパーソナルファイアウォールなどの防衛手段も動作していないか、または最新版ではないだろう。

 これらセキュリティ対策ツールの最新版を手に入れるためには、インターネットに接続してダウンロードサイトから最新版を入手しなければならない。最新版にアップデートするのに必要なものがCD-ROMなどの媒体で配布されることもあるが、入手にいくらかお金がかかることもあったり、配布時期が遅かったりするため、一般的にはインターネットからの入手が主要な手段であろう。

 そう、最新版を入手するためには、インターネットに接続しなければならないのだ。しかも、コンピュータが最も無防備だといえる状態のときにである。コンピュータを最新の状態にしたいが、インターネットに接続すると危険だ。しかし、インターネットに接続しないわけにもいかない。などという葛藤(かっとう)が続いてしまう。さて、いったいどうしたものか。

本当に脅威なのは何か?

 インターネット上の脅威といっても、すべての脅威が何もせずにコンピュータに勝手にやってくるわけではない。自ら進んで身をさらさないことには脅威となり得ないものもある。メールに添付されてくるウイルスなどは、メールを受信しない限りは受け取ることはない。また、ブラウザで閲覧しただけで被害に遭うActiveXなどの脆弱性を利用したような攻撃は、信頼できないサイトにアクセスしない限りは起こらない。これらのインターネットアクセスは、最新版へのアップデートやアンチウイルスソフトの導入が終わるまでに行わなければ脅威とならない。

 無防備な状態で脅威ととらえるのは、インターネット側から無差別に行われる攻撃である。ワームによる自動化された無差別攻撃や不正アクセスなどがそれに当たる。IPアドレスを走査して片っ端から接続していき、セキュリティホールが残っているOSやソフトウェアを攻撃対象とするものである。これらは、インターネット側からコンピュータに直接接続されることで脅威となるのだ。最新版にアップデートするまでの短い時間の間でも起こり得ることである。

脅威から身を守るためには?

 インターネット側からコンピュータに直接接続されることを防ぐ。これが可能になれば、無防備なコンピュータをいきなりインターネットに接続しても脅威から防ぐことができるだろう。

 インターネットから直接接続するためには、インターネットから参照できるIPアドレスがコンピュータに割り当てられている必要がある。多くのISPではインターネット側からアクセスできるグローバルIPアドレスと呼ばれるIPアドレスを固定的または、動的に利用者に提供している。

 インターネットから直接アクセスできないようにするには、ローカルIPアドレス(またはプライベートIPアドレス)と呼ばれるIPアドレスを利用する必要がある。しかし、ローカルIPアドレスをコンピュータに割り当てると、インターネット接続すらできなくなってしまう。これを解決するのがNAT(Network Address Translation)やNAPT(Network Address Port Translation)という技術である。NATやNAPTはグローバルIPアドレスとローカルIPアドレスを透過的に相互変換する仕組みである。

 つまり、NATやNAPTを利用すればインターネット側からの脅威から守ることができるということだ。NATやNAPTを使うのはそれほど難しいことではない。恐らく、ある程度の規模のコンピュータがある会社ではすでに導入しているし、自宅でも数台のコンピュータを使っている方は使っているはずなのだ。NATやNAPTを使うためにはルータと呼ばれる仕組みを導入することが必要である。自宅向けの場合には、ブロードバンドルータと呼ばれるそれである。

 ブロードバンドルータは、1本の回線を複数台のパソコンで使えるという売り文句で売り出していることが多い。しかし、ブロードバンドルータの真の売り文句はNATやNAPTが使えることで、LAN側のコンピュータがインターネット側からの脅威を防御できることだと考える。なので、パソコンが1台しかなくてもブロードバンドルータの利用をオススメする。

 ただ、NATやNAPTを使えるブロードバンドルータを導入してもセキュリティ対策がすべて万全というわけではない。無防備な状態よりはかなり防御力が高まっているが、それと併せて一般的にいわれるセキュリティ対策は実施するようにしておく必要がある。


Profile

上野 宣(うえの せん)

1975年京都生まれ。情報セキュリティを世に広げるべく、講演や執筆活動とさまざまな方面で活動中。近著に「今夜わかるメールプロトコル」、「今夜わかるTCP/IP」、「今夜わかるHTTP」(共に翔泳社)がある。


「SecurityTrust ウォッチ」バックナンバー

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。