忘れたころに使える無駄知識です。
ITの安全性はどのように担保したらよいのでしょうか?これは意外と難しい問題です。
使ってるソフトや機器の安全確認が必要な時
これは割と頻出の問い合わせです。例えば、内部統制のしっかりした企業では「新しいソフトウェアを勝手にPCにインストールしてはいけない」となっていると思います。勝手にインストールしたソフトウェアが原因で重要な情報が洩れては大変です。
たいてい、情シスと戦うことになるんですが、安全だということを主張するのは結構骨が折れます。
個人のおうちでも、「勝手にパソコンに侵入されたら・・・」ということを心配する人もいるのではないでしょうか。
ハッカーは重要でない部分から狙ってくる
意外とハッカーは重要なところを狙ってきたりはしません。なぜなら、みんなが守ろうと思っているところは大抵の場合セキュリティが厚いからです。
なのでまずは、セキュリティの甘そうなところを狙ってきます。代表的なところでは下記のようなものがあります。
- 重要な情報を扱うネットワークのWiFiルータ
- 従業員のPCへのフィッシングメール
そこを足掛かりにして重要な情報を盗もうとします。
過去の事例: phpMyAdminがハックされる
これは実際に僕がやらかしてしまった例ですが、phpMyAdminという開発ツールからサーバが乗っ取られたことがあります。実は、有名なオープンソースソフトの中には公開領域に置かれることをあまり意識していないものがたくさんあります。
便利だからという理由で、簡易的な管理画面を公開領域においてませんか?十分に枯れていない技術を使うときは、かならず丸ごとBasic認証で隠すか、非公開領域に置くようにしましょう。
最近の事例: そのルーターは安全なのか
僕が脅しすぎたのもあるんですが、「うちにあるルータは大丈夫なのか」という話になり、その確認を行いました。セキュリティ情報をチェックしたところ、過去に脆弱性があったことがわかり、ファームウェアのアップデートをお勧めすることになりました、
JVNとCVEでセキュリティチェックを行おう
実は、IT関連のセキュリティ情報を集めたデータベースがあり検索をすることができます。日本はJVN、アメリカではCVEが有名です。
では、phpMyAdminをCVEで調べてみましょう。CVEで検索すると下記のようにたくさんの脆弱性を見つけることができます。長いこと使われているソフトだけあって、248件となかなかたくさんありますね。。。。ぱっと見た感じだと、最近はあまりひどいこと起きてないですが、昔はなかなかえぐい感じがしますねー。
phpMyAdminは公開領域には置いてはいけない。お兄さんとの約束だ!
例えば、適当に一つ選んで開いてみましょう。下記は、Directory Traversalに関するセキュリティホールで、サーバに特定のファイルがあるかどうかを知られてしまうという脆弱性のようです。
ぶっちゃけよくわかりませんね。そういう人はリンクをたどってNISTが運営するNVDに行くと、危険度が評価されています。
CVSSというのは、脆弱性の評価スコアです。CVSS v3.0でConfidentialityがLowなのでそれほど危険ではなさそうですが、Attack ComplexityがLowなので誰でもできるという意味では多少危険度はあるかもしれません。
このように今使っているソフトウェアがどのくらい危険であるのかというのを比較的容易に評価できます。
おうちのルータの脆弱性は?
家のルータは安全でしょうか。今日たまたま評価したので、同じようにやってみましょう。まず、家のルータの型番をゲットします。この人はCiscoのLinksys EA6400を使っていたようでした。ではJVNで検索してみましょう。
おっとなにやら「重要な情報を取得される脆弱性」と書いてあります。穏やかではありませんね。
実際中身を見てみましょう。
CVSSのスコアで危険となっており、どうやら緊急度の高そうな事案です。
参考情報からリンクをたどっていくと対策が載っているページが見つかり、ファームウェアをアップデートすればよいことがわかります。
JVNVU#96488651: Linksys SMART WiFi 対応ファームウェアに複数の脆弱性
どうやら、Linksys EA6400には自動アップデート機能があるようで、多くの場合問題はなさそうですが、念のためファームウェアのアップデートをお勧めしておきました。
まとめ: セキュリティが心配になったらJVNとCVEで検索。CVSSをチェックしよう
セキュリティ情報はJVNとCVEを閲覧すればたいていの場合情報が見つかります。セキュリティの内容は専門家でもよくわからない場合があります。その場合はCVSSのスコアを参考にしたり、参考情報/referenceのリンク先をみて要約を見るとよいでしょう。
またIPAのツイッターやメーリングリストでは、最新のセキュリティ情報を発信しています。企業のインフラ担当者や情報責任者はこれをチェックするようにするとよいでしょう。
安全で楽しいITライフを!