セキュリティの知られざる世界

セキュリティの世界には、一般の世の中の常識が通用しない
びっくりするような事実があります。

 

(その1)
■世の中の常識■
私たちは、メディアから知らされるようなセキュリティの脅威は、なるべく世の中に出てこないように抑え込まれているものだと思っています。

 

■セキュリティの世界■
世界のセキュリティ専門家が、あるソフト、システムの脆弱性を発見した場合には、その脆弱性をいち早く広報し、その脆弱性を突いた攻撃方法(実際のプログラムコード)も公開します。

セキュリティの世界では、脆弱性は広く公開し、各システム管理者の責任で脆弱性対策を行うのが正しい道筋と考えられています。

そのため、セキュリティソフトのウィルスパターンファイルに、その脆弱性対応が取り込まれる前に、公の脆弱性データベースに、その脆弱性情報を使ったセキュリティ攻撃の仕方が、公開されているのが現実です。Webブラウザから脆弱性データベースを参照し、攻撃するためのツールを一般の人が誰でもダウンロードできます。

脆弱性を利用する攻撃コードの情報を配信しているサイト「Exploit Database」
(攻撃コードとともに脆弱なバージョンのソフトウエアを配信)
ページ上部に[Vulnerable App]という項目があり、脆弱性のあるバージョンをダウンロードできる。

 

(その2)
■世の中の常識■
私たちはセキュリティ攻撃ができる環境は、裏世界に存在し、一般の人の手には入手困難であるイメージを持っています。

■セキュリティの世界■
良い悪いは別として、専門機関や企業がセキュリティの脆弱性を調査できるようにするために、セキュリティ攻撃に使えるツールが何の制限もなく、無料で使用できるようになっています。

セキュリティ診断で使えるポートスキャンツール、パスワードクラックツール、脆弱性を突く攻撃ツールなどがセットになったシステムが、KaliLinuxというLinuxディストリビューションとして普通に入手できます。

これを使えば、ポートスキャンツールで侵入口を探り、サーバのバージョン情報などを調べ、ソフト名を検索キーワードにして、公に公開されている脆弱性データベースから攻撃のプログラムコードを用意して、実際に攻撃した上で、制御を完全にコントロールできる状態まで持っていくことができます。後は継続して、そのサーバを攻撃の踏み台にできるようにゆっくり環境構築するようなことも可能です。

セキュリティの正しい世界を実現するために、これらは用意されているものですが、別の視点から見ると、攻撃するための便利な仕組みにもなっているのです。

不正アクセス検挙でもっとも多いのは14~19歳というデータもあります。少年がサイバー犯罪に手を染める事件が繰り返し起きていますが、背景にはネット上で比較的簡単に知識・ツールを入手でき、遠隔操作できるウイルスの作成ツールをネットで入手できるほか、ランサムウェアでは作成・送金などを行う代行サービスまで存在している。ある程度の知識があれば、少年でもサイバー犯罪を行える環境があるわけです。