オペレーション・セキュリティ (続・Gumbler大流行中)。

 さて、昨日ネタにしたGumbler話の続き。

 問題のサイト、本日見たら取り敢えず閉鎖されているようです。

 つまりこのサイトは汚染されたまま放置されているワケではなく、管理者も汚染拡大を阻止するためにまずは正しいオペレーションを取りました、と。

 ・・・ということで。

 先日から話題になっているFTPパスワードの件と絡めまして、少し「オペレーションとしてのセキュリティ」について考えてみましょうか。

 といっても、実はこれがそんな簡単にまとめきれるような簡単な話ではなく。

 「システム最後にして最大のセキュリティホールはユーザ自身」

 などと言われるぐらい大きな話なのですよ。
 なので、今回はGumbler対策、その中でも今話題の「FTPパスワードが抜かれる(盗まれる)」に話を絞っていきます。

 #一時期大流行したWinnyでの情報流出だって、所詮あれはユーザが原因だしね。

 ◇

 この話、いくつものレイヤが一緒くたに語られているので、話がグチャグチャになっている印象があります。
 なのでレイヤをバラしてみると、大きく分けて以下の3つの話になります。

 1・ネットワーク上の通信を覗かれて、パスワードが盗まれる。
 2・ローカルPCに保存された設定が覗かれて、パスワードが盗まれる。
 3・ローカルPCの操作が記録されて、パスワードが盗まれる。

 さて、順番にバラしていきましょか。

 1★ネットワーク上の通信を覗かれて、パスワードが盗まれる。

 今回の騒ぎで「FTPを捨てろ」という話が出てくる理由がこれです。
 FTPというのはパスワードが「そのまんま」ネットワークを流れるため、ネットワークを覗き見していれば簡単にパスワードを拾う事が出来ます。

 ♯さすがにコレはカッコワルイということでOTP(One Time Password)やC&R(Charrenge And Response)と呼ばれる仕組みも考え出されたのですが。
  残念ながらコレはあまり流行らず、今でもパスワードを「そのまま垂れ流し」してるのが殆どです。

 このこと自体は昔から周知の事実で、少しでもセキュリティに気を使う人は昔からFTPなど使っていないのですが。
 今問題になっているのは、Gumblerの亜種に「ネットワークを覗いてパスワードを探している」ものがある「らしい」という話が出ているからです。

 つまり、ユーザがFTPでパスワードを垂れ流すと、身を潜めてすぐ目の前のネットワークを覗き見しているだけでパスワードが手に入る、ということです。
 このような「システムに積極的な攻撃をしない」タイプのウィルスは一般的にユーザに気づかれにくい上、アンチウィルスソフトウェアからも検出されにくく、気づかないうちに大量のデータが盗まれる可能性があります。

 そもそも現在FTPでサーバに接続すること自体、激戦場に丸腰で突入するような(無謀な)ことなのですが、この上味方だと思っていた連中が実は全員スパイで自分の全てが監視されてた、みたいなこの状況。

 ・・・やめましょうよ、FTP。

 対策としては、要するに通信を暗号化すればいいワケです。覗かれても理解できなきゃ問題ない。

 ・FTPの通信全体をまるっと暗号化してしまう →FTPS (FTP over SSL)
 ・同じくFTPの通信全体をまるっと暗号化してしまう →SFTP
 ・そもそもFTPを使わず暗号化通信を行う →SCP

 イロイロ選択肢はあります。
 この中で、お使いのサーバでサポートされている暗号化通信を利用して下さいな。

 ◇

 2★ローカルPCに保存された設定が覗かれて、パスワードが盗まれる。

 さて、1と違ってこちらは「うっかり感染してしまった後」の話ですね。
 「感染した時点で既にダメ」なのは事実なのですが、それでも俗に言う「ダメコン」(Damage Control)、いかにして被害を最小化するかという考え方が出来るか出来ないかで、その後の被害状況は随分と変わるもの。

 というワケでして、世間では一番盛り上がっているネタです。

 そもそも、ローカルPCに設定を保存しているということは、必ず解読出来る形式でデータが保存されているということです。・・・解読出来ないと呼び出せないじゃないですか。
 そして、Gumblerウィルスは、この「設定の解読方法」をいくつも知っている。解読に必要な情報が全てPCにあれば、ウィルスは簡単にそれらを回収して設定を解読してしまう。
 今回はソレで見事にパスワードが解読され、どんどん盗まれている、ということ。

 それでは、この対策をどうすれば良いか。
 簡単です、解読に必要な情報の全てがPCに無ければいいんです。
 要するに、パスワードを保存しなければ良いのですよ。保存してなければ盗みようが無い。
 はい解決。

 ・・・え、ダメ?
 まあ確かに、そんなにいっぱいパスワードなんて覚えられねぇよ、というのが人間。
 大丈夫、そんな貴方に「パスワードマネージャ」というソフトがあります。

 ♯KeePass、とか。

 これは「強力な暗号化と一つのマスタパスワードを組み合わせ、他のパスワードを暗号化して保存しておく」ツールです。
 マスタパスワードが漏れない限り、他のパスワードは安全に保存しておけます、ということ。

 勿論、いくら強力な暗号化とはいえ、マスタパスワードが漏れてしまったら守りようがありません。
 自分のセキュリティを守るため、たった一つのマスタパスワードぐらい、きちっと覚えて管理しましょうね。

 ということで、ローカルPCに全てのパスワードを保存してラクしよう、という考え方はいけません、という話でした。

 ♯念の為、パスワードマネージャを使う時は暗号化の強度を必ず確認しましょう。

 ◇

 3★ローカルPCの操作が記録されて、パスワードが盗まれる。

 さて、前ネタに続いてこちらも「うっかり感染してしまった後」の話。

 今度は「パスワードを保存していないor安全に保存していても、パスワードを入力する操作そのものが記録されて、結果としてパスワードが盗まれる」という話です。

 これはいわゆる「キーロガー」対策ということで、Gumblerだから特別ということはありません。
 今回Gumbler対策でこの話が出るというのは、Gumblerの亜種に「キーロガー機能を持っている」ものがある「らしい」という話があるからです。最初のFTPの話と一緒。

 まあこれに関しては、今更言うことはありません。FTP捨てようが、パスワードを全て毎回手入力しようが、防ぎようが無い。
 防ぐには、そもそもこんなヤツを入れない、以外無いです。

 ◇

 とまぁ、こんなワケで。

 問題になりそうなのは、FTPしか使えないという、時代遅れのサーバのユーザですね。
 もしOTPが使えるようでしたら何もしないよりはマシなのですが、今更ソレかよ、という気がします。

 正直なところ、今時FTPしか使えないサーバなんて解約するのが一番いいと思います、はい。
 FTPを使わずにファイル転送が出来るサーバなんて、今時珍しくないですから。

 ちなみに、問題のサイトを収容しているサーバ業者のサイトを確認したところ、FAQの隅っこに「FTPSが使えるよ」と書いてあるだけでした。
 普通に仕様表に書いていない辺り、割と残念な類の業者ですね、コレは。

Share