新たなSNMPの脆弱性への対応方法は?
2002/2/16
Wednesday, February 13, 2002, 5:49 PM ET By Tom Smith, InternetWeek
SNMP(Simple Network Management Protocol)に関するセキュリティ上の問題が連日、マスコミに大きく取り上げられている。この世の終わりでもあるかのように大げさに騒がれているが、実際のところ、問題の本質は何なのだろうか?
現在、話題となっているのは、バッファオーバーフローに関連したSNMPの脆弱性を利用すれば、豊富な専門知識を持たないハッカーであってもDoS(サービス拒否)攻撃を簡単に仕掛けられるという専門家による指摘だ。ここでは、この視的を軽視しようとしているわけではないが、さらなる問題を提示したい。SNMPをサポートすると同時にSNMP v1の設定の何らかの要素を含んだデバイスやネットワークシステムなどの各種機器が膨大な量になるという別の懸念事項もあるのだ。
結局のところ、セキュリティ関連の脆弱性はどれも同じで、企業の自衛には厳格なセキュリティポリシーと準備が有効だ(もしくはだったはずだ)。
多くのシステムは、デフォルトの設定の一部として、SNMPを搭載している。セキュリティコンサルティング会社である米GuardentのCTO Jerry Brady氏によると、現在の問題の背景にあるのは、だれ1人として意識的にSNMPを「有効」にしていないため、担当者が知らないうちに、SNMPのパケットがネットワークを流れている可能性があることだという。
さらに、同氏が問題視しているのは、切り離されたソフトウェアやハードウェアデバイスではない。Brady氏は一例として、自社で採用しているSolarisの設定がデフォルトでSNMPをインストールするという理由だけで、SolarisベースのすべてのサーバでSNMPの「レシーバ」を動かしているカスタマの例を引用した。これと同じようなことがDSLルータ、パーソナル・ファイアウォール、あるいは単にプリンタを所有しているホームオフィス・ユーザーにも当てはまる可能性が高いという。
このことは、今回表面化した情報の中で企業にとって非常にやっかいな要素の1つだろう。これで各社には、社内で使用中で、SNMPが稼働している全システムの確認という気の遠くなるような作業が必要になるからだ。その作業が終わると、自社で導入しているベンダ各社の個々のプラットフォームの脆弱性を評価し、それから脆弱性のあるシステムすべてにパッチをあてるという作業が待ち受けている。
この問題がどの程度深刻なものかを感じていただくために、米シスコシステムズの製品を見てみよう。というのも、ネットワーキング製品最大手のシスコの膨大な製品ラインと、そのけた外れのインストール台数から、多くの専門家が脆弱性を悪用する際に一番の標的になるものとして同社の製品を引き合いに出しているからだ。製品ごとの影響の有無をシスコのサイトでチェックしていただければお分かりいただけるだろう。
Brady氏の説明によると、DoS攻撃よりも厄介で、ネットワークやWebサイトをクラッシュさせてしまうのが、発生したバッファオーバーフロー状況を利用した2次攻撃だという。しかし、(ウイルスなどによる)悪質な種類の攻撃を仕掛けるためには、稼働しているOSや搭載しているメモリ容量など、受け手側のシステムに関する幅広い知識が必要となる。Brady氏は、「クラッカーはそのソースコードに詳細に目を通す必要があるだろう。調査、研究、および開発にはかなりの時間がかかる」と説明している。
これまでのところ攻撃はまったく確認されていないが、DoS攻撃の原因を見極めるのは非常に難しく、企業はこのような形で自社が攻撃されたことに気付いていないことが多い、と専門家は指摘する。
セキュリティ研究機関の米SANS Instituteでリサーチディレクターを務めるAlan Paller氏は、「システムダウンは日常的に発生し、その都度システムを復旧して運用を継続している。だが、連続で6回も発生すれば、犯罪を念頭に捜査を開始することになる」と語った。
米Fandangoなどの一部の企業は、SNMPが実現してくれる管理機能よりもセキュリティ確保の方が重要であるとの判断を下し、SNMPの設定を無効にすることで対処した。
だが、8万人の社員を抱え、SNMPに大きく依存するある国際組織(セキュリティ上の理由から匿名を希望)などでは、ネットワークの中心から最も離れた部分の一部でSNMPを無効にする一方で、最も攻撃を受けやすい場所については評価作業を継続している。この会社は社内で数千台のSNMPデバイスを運用しており、脆弱性の評価はこれらすべてについて行う必要があるため、作業は一段と困難なものになると予想される。
このことからIT部門は何を学ぶべきであろうか?攻撃を受けやすいのは最新のソフトウェアや最新のアップグレードだけではない。影響を受けるSNMPコードは何年も前から利用されてきたものだが、企業各社は自社が採用しているベンダに最も安全なシステムを要求し続けるとともに、そのために進んで機能を犠牲にする必要もあるといえる。これは何度も繰り返されている言葉だが、繰り返される意味をますます強めている言葉である。
[英文記事]
ANALYSIS:
Dealing With New SNMP Vulnerabilities
[関連記事]
自主性が要求されるセキュリティ対策の新ガイドライン(@ITNews)
セキュリティポリシー策定の問題点を解消したツール、アズジェント
(@ITNews)
トップの責任が問われるセキュリティポリシー策定
(@ITNews)
ハッカーの次なる標的はルータ
(@ITNews)
ルータ/スイッチを監視してダウンに備えるトリップワイヤ
(@ITNews)
2種のウイルス被害拡大で分かるセキュリティ対策の甘さ(@ITNews)
セキュリティポリシーで事業を守れ
(NewsInsight)
運用管理に必須のツール/コマンド群
(Master of IP Network)
SNMPを使ったネットワーク管理に役立つ3冊
(Master of IP Network)
Copyright(c) 2001 CMP Media LLC. All rights reserved
情報をお寄せください:
最新記事
 |
|
|
|
|
