もなみ9歳
〜Lite〜
| 2005年06月18日 |
セキュリティホールフリー |
えっと。
昨日の内容は以前書いた内容と同じような話になっていたのですケド、アレを書かないと今日の話が書けなかったのですよー。
そういうわけで、今日はセキュリティについてー。
セキュリティを破るために使われるもののことをセキュリティホールと言うのですケド、じゃあセキュリティホールは何故できるのでしょうかー。
ようするにシステムとして見たときにバグがあるからなんですよねー。
そして、そのバグにも色々な種類があり、ルーターを含めたハードウェアのバグだったり、サイトを構築するOSのバグだったり、その上で動くアプリケーションのバグだったり、或いはシステムの設定ミスによるバグだったり、クラッカーを雇ってしまったという人員配置上のバグだったり、もっと酷いケースですと(メールのfromアドレスの偽装やping of deathのように)従わなければならない規格のバグだったりするわけでー。
このようなバグのうちアプリケーションのバグはともかく、他のバグに関してはセキュリティ技術者なら誰でも知ってるような当たり前の手段では防げないというのが実情ですー。
そして、昨日書いたとおりバグは現実的でないコストをかけないとゼロにならないのですから、同じように24時間1000人体制で監視トカ、家庭用金庫を守るために一個小隊を護衛に使うような採算ベースに合わないくらい膨大なコストをかけないとセキュリティホールもゼロにならないということになりますー。
ではどうするかと言いますと、例えば初級システムアドミニストレーター試験ですら記述されているのですケド、セキュリティは費用対効果を考えて一定レベル以上の措置を取るというのが普通ですー。
そして、一般に費用対効果が取れるセキュリティレベルとはスクリプトキディ対策レベルとされているのですよー。
スクリプトキディというのは、それほどクラッキング知識があるわけではない一般人でもセキュリティホールを攻撃できるように作られた専門攻撃ツール(スクリプト)を用いてクラッキングをする人のことですー。
ところで、このような専用攻撃ツールは既存のセキュリティホールに対してアタックするように作られますー。
なんでかと言いますと、未知のセキュリティホールに対する専用攻撃ツールを作ってしまうと、あっという間に対応されてしまって、せっかく見つけたセキュリティホールをクラッカーが長期間使うことができなくなるからなんですねー。
さて、ソースコードは膨大ですから何も情報の無いところからセキュリティホールを見つけるというのは、砂漠の中で針を探すのに等しいくらいの多大な労力が必要ですー。
でも、そのセキュリティホールが、どのプログラムのどのへんを利用したのかが判りさえすれば、見つけるのはそう難しいことではありませんし、一般人向けに専用攻撃ツールを作るのも簡単なのですー。
だからこそ、たとえ未知のセキュリティホールが発見されたとしても、その手口を対応前に公開することの是非というのが問題になり、実際に色々と批判はあるにしてもOISが30日ルールを定めたわけですねー。
さて、未知のウィルスによる攻撃をワクチンソフトで防げないのと同じように、未知のセキュリティホールに対する攻撃は防げない以上、サイト上のセキュリティを完璧なものと過信するのは危険ですー。
ですから、被害を受けたくないなら、どれだけ安全と思われるサイトであっても情報は不必要に登録しないという自衛手段を取るしかないのですよー。
ましてや、それが価格コム様のように月に一度しかパッチを発行しないマイクロソフト様のIIS6.0を利用されているサイトならなおさらですー。
もなQは、以上のことを踏まえた上で、この記事やこの記事を読むと、色々と新しい発見があるのではないかと思いますー。
名無し様:カカクコムの場合は、HP改ざんがあったから判明したけど、顧客情報流出だけだったら永久に分からなかったのでは。という気もします。
名無し様:↓みたいな番号ゲットレス懐かしい。昔はこれを楽しみに来てたものだった
名無し様:vulnerabilityって、あまり使われないのかな。
名無し様:メジャーな物は必然的に狙われるからあんまり言うのは良くないかなとちょっと思いながら、マイクロソフト=悪が定説なので別にいいかなと思くぁせdr(略
名無し様:価格コムは前重かったときにIISのエラーが出ていたので・・・
(*゚ー゚)oちゃま:まさかこんなに続くなんて思いませんでしたーw
名無し様:価格コムで思い出しましたけど、総務省?主導で希望会社に抜き打ちテストをするという話が出てますね。
空き都〜様:第13師団所属清掃班の皆さんと一緒に後楽○遊園地で握手!↓途中送信すいません
空き都〜様:第13師団所属清掃班の皆さん
TT-TT様:ばーちゃる(略)ちゆ12歳〜♪
名無し様:じゅういち〜
名無し様:とりあえず十番ー
もなみ:いまだーもなQ番げっとー
名無し様:みんな野蛮(8番)だなぁ
名無し様:Z番
名無し様:じゃあ、陸番!
名無したん:5番。
名無し様:四番ー
なぬっ様:三番ー?
しっぽ様:二番ー
はなしちゃま:一番ー
|
|
リンクポリシーや転載トカについては、こちらを御覧下さいー。
spamメールや脅迫メールは晒すことがありますので、覚悟の上でどうぞ。
|
|