次のページ 前のページ 目次へ

9. システムに侵入された場合や現在侵入されている場合の対応

本ドキュメント(あるいは他の)のアドバイスに従っていて,システムへの侵入 を発見した場合にはどうすべきでしょうか? まず最初にすべきことは,平静 を保つことです.あわてて行動すると,侵入者にやられるよりも悲惨なことに なるかもしれません.

9.1 セキュリティが破られている最中

セキュリティが破られている最中であることに気づくと,緊張する仕事を強い られることになるでしょう.あなたがどのように対処するかは,重大な意味を 持ちうるからです.

それが物理的な攻撃であるのなら,あなたは家や会社,研究室に何者か侵入し たことに気づいたということなのでしょう.まずは,このことをその場所の責 任者に知らせるべきです.研究室ならば,誰かがケースを開けようとしていた り,マシンをリブートしようとしているのを見つけたのかもしれません.この 場合には,あなたの権限と職務手順に基づいて,相手を止めるか警備員に連絡 することになるでしょう.

ローカルのユーザがセキュリティを破ろうとしているのを見つけた場合には, まずは本当にその本人なのかどうか確認しましょう.その人がログインしてき ている元のサイトを調べましょう.そのサイトはその人が普段ログインしてく るところですか? 違うのならば,非ネットワーク的な手段で連絡を取りましょ う.例えば,その人のオフィスや家に電話したり直接赴いてから話をするので す.その人が自分がやったことを認めたら,何をしようとしていたのか説明さ せたり,それをやめるように伝えます.何もしていないとか,全く身に覚えが 無いと言われた場合には,この事件は更に調査が必要でしょう.告発を行う前 には,まず事件を調べて多くの情報を集めましょう.

ネットワークでの攻撃を見つけた場合には,まずは(可能ならば)ネットワーク への接続を切り離します.モデム接続ならばモデムケーブルを抜き,イーサネッ ト接続ならばイーサネットケーブルを抜きましょう.これにより,より大きな 被害を防ぐことができますし,相手側にも発見に気づかせず,ネットワークの 問題だと思わせることができるかもしれません.

ネットワーク接続を切り離せない場合(忙しいサイトや,マシンを物理的に操 作できない場合)には,次善の策として,tcp_wrappersipfwadm のようなツールを使って侵入者のサイトからのアクセスを 拒否しましょう.

侵入者と同じサイトのユーザを全て拒否することができない場合は,ユーザア カウントをロックすべきです.ユーザアカウントをロックするのは容易でない ことには注意してください..rhosts ファイル,FTP でのアクセス, 裏口になり得るホストには気を付けてください.

以上の処置(ネットワークの切断,攻撃者のサイトからのアクセス拒否,アカ ウントの停止)の後は,これらのユーザのプロセスを全て止め,ログアウトさ せます.

攻撃者は戻ってこようとするでしょうから,その後しばらくは自分のサイトを 監視すべきです.おそらく,別のアカウントや別のネットワークアドレスを使っ てくるでしょう.

9.2 既にセキュリティが破られてしまった場合

既にシステムに侵入されてしまったことに気づいた場合や,侵入に気づいて (願わくば)侵入者をシステムから追い出した場合にはどうすればいいでしょう か?

セキュリティの穴を塞ぐ

攻撃者がシステムに侵入した方法を調べることができたら,今度はその穴を塞 がなければなりません.例えば,そのユーザがログインする直前にいくつか FTP のエントリがあったとします.その場合には FTP のサービスを停止し, 新しいバージョンのサーバが出ていないか,あるいはセキュリティ関係のメー リングリストに修正方法が投稿されていないかを調べましょう.

全てのログファイルを調べ,セキュリティ関係のメーリングリストやウェブペー ジを調べ,修正可能な新しい一般的な弱点が出ていないか調べます. Caldela のセキュリティ修正は http://www.caldera.com/tech-ref/security/ にあります.RedHat はまだセキュリティ修正とバグ修正を分離していませんが,ディストリビュー ションの訂正は http://www.redhat.com/errata にあります.

Debian にはセキュリティのためのメーリングリストと WWW ページがあります. 詳しくは http://www.debian.com/security/ を見てください.

あるベンダがセキュリティ更新パッケージをリリースしていれば,ほぼ確実に 他の Linux ベンダもセキュリティ更新パッケージを出しているでしょう.

現在はセキュリティ監査を行うプロジェクトがあります.このプロジェクトは, ユーザ空間で動作するユーティリティを組織的に全て検査して,セキュリティ 的な弱点やオーバーフローの可能性がある部分を探す作業を行っています. このプロジェクトによるアナウンスを以下に引用します:

「我々は Linux 関連のソースコードの組織的な監査を行って OpenBSD と同じ くらい安全にしようとしています.我々は既にいくつかの問題を明らかにして (そして修正して)いますが,まだまだ助力が必要です.このメーリングリスト は誰でも投稿できますし,セキュリティ関連の一般的な議論にも役立つリソー スです.このメーリングリストのアドレスは security-audit@ferret.lmh.ox.ac.uk です.購読するには security-audit-subscribe@ferret.lmh.ox.ac.uk 宛に空メールを送ってくだ さい」

攻撃者を締め出さなければ,彼らはまた戻ってくるでしょう.あなたのマシン に戻ってくるだけでなく,同じ LAN にある他のマシンにも来るかもしれませ ん.彼らがパケット盗聴プログラムを実行していたら,大抵,他のマシンにも アクセスできるようになっていることでしょう.

被害の見積り

まず被害の見積りを行います.何が壊されているでしょうか? Tripwire のような,システムの完全性をチェックするプログラムを 実行していれば被害を調べる助けとなるはずです.そうでなければ,重要なデー タを全て個別に確認しなければならないでしょう.

最近は Linux のシステムのインストールが簡単になったので,設定ファイル を保存しておいてから,ディスクをフォーマットし直し,再インストールし, ユーザのファイルと設定ファイルを書き戻すという手順を考えてみてもよいで しょう.こうすれば,新しくてきれいなシステムであることを保証できます. 破られたシステムからバックアップファイルを行わなければならない場合には, バイナリを書き戻す時には特に注意しましょう.侵入者がトロイの木馬を置い ているかもしれないからです.

侵入者に root 権限を奪われた場合には,再インストールも必須だと考えてく ださい.加えて,証拠を残しておきたいと思うでしょうから,予備のディスク を金庫に保管しておくことも無駄ではないかもしれません.

その後は,どれだけ前にやられたのか,そして壊された成果はバックアップに 入っているのかどうかを心配しなければなりません.できるだけ新しいバック アップを使いましょう.

バックアップ,バックアップ,バックアップ!

セキュリティの問題において,定期的なバックアップは大変貴重なものです. システムが破壊された場合,必要なデータをバックアップから書き戻すことが できます.もちろん攻撃者にとって価値のあるデータもありますから,彼らは データを破壊するだけでなく,盗んでしまうかもしれません.それでも最低限 こちら側にデータだけは残ります.

改竄されたファイルをバックアップから書き戻す前には,過去に渡っての複数 のバックアップを必ず調べましょう.侵入者がずっと前からファイルを壊して いるかもしれず,壊されたファイルの正しいバックアップを取っているかもし れません!

もちろん,バックアップにまつわるセキュリティの問題もたくさんあります. バックアップは安全な場所に保管しましょう.誰がバックアップに触れるのか を知っておきましょう.(もし攻撃者がバックアップを手に入れてしまったら, 知らないうちにあなたの持つ全てのデータにアクセスされてしまいます.)

侵入者を突き止める

さて,侵入者を締め出して,システムを復旧させましたが,まだ全ては終わっ ていません.侵入者が捕まることはまずありませんが,攻撃を受けたことは報 告しておくべきです.

あなたのシステムに攻撃を行った攻撃者のサイトの管理者の連絡先に,攻撃を 受けたことを報告しましょう.この連絡先は whois コマンドか, INTERNIC のデータベースで調べることができます.適切なログのエントリと 日時を相手にメールで送りましょう.他にもわかっている侵入者の特徴があれ ば,それも知らせましょう.メールを送った後に(気になるなら)電話をすべき です.その管理者があなたのサイトへの攻撃者に気づいたら,今度はこの管理 者が攻撃者がやってきているサイトの管理者に話ができるかもしれません.

腕の立つクラッカーは,クラックしたシステムを間にいくつか挟んで攻撃して くることがよくあります.その経路には自分達がシステムを破られたことさえ 知らないサイトも(たくさん)あります.ですから,クラッカーの本拠地を追跡 して突き止めることは困難です.話をした管理者が役に立たなくても,その辺 りの配慮をしてあげましょう.

また,自分が所属しているセキュリティ関連団体( CERT 等)や,お使いの Linux システム のベンダにも報告すべきです.


次のページ 前のページ 目次へ