［米国］
管理アプリケーションがセキュリティ上のリスク要因に──セキュリティ会社が指摘

【Black Hat USA 2006 リポート】

（2006年08月04日）

　エンタープライズ管理アプリケーションは、コーディングの安全性や導入方法に問題を抱えている。アンチウイルス、パッチ管理、システム管理などをサポートするアプリケーションが、悪意のある強力なボットネットに変わってしまう危険性があるからだ──。このほど米国ラスベガスで開催されたセキュリティ関連イベント「Black Hat USA 2006」では、このような研究結果が明らかにされた。

　米国マタサーノ・セキュリティの社長、デーブ・ゴールドスミス氏は8月1日、同イベントで同僚のトーマス・タセク氏とともに研究発表を行い、あらゆるレベルのエンタープライズ管理アプリケーションに、バッファ・オーバフロー対策の不備、暗号インプリメンテーションの不良、おろそかな認証といった容易につけ込めるセキュリティ・ホールの問題があると指摘した。

　ゴールドスミス氏らは、脆弱な製品を提供している具体的なベンダーの名前を明かさなかったが、セキュリティ面で弱点を抱えるシステムの種類は多岐にわたると説明した。

　「マシンを社内のネットワークに接続する場合を考えてみよう。朝、マシンを起動させると、すべての管理アプリケーションがシステム・トレイに読み込まれ、管理者に代わって各種の作業を実行する。これらのプログラムは、社内のあらゆるデスクトップ上で稼働している」とゴールドスミス氏。

　同氏によると、管理アプリケーションは、システム管理者がエンタープライズ・システムの管理と一貫性を確保するために使用するものであるものの、それら自体は、インターネット上でスパミングやサービス拒否攻撃（DoS）を実行するために使われる悪意のあるボット・プログラムとほとんど変わらないという。

　ゴールドスミス氏は、「これらのエージェントは、ポートでデータをチェックし、他の人々が管理し、エージェントに作業指示コマンドを出しているシステムに接続する。そのアーキテクチャはボットとまったく同じだ」と強調した。

　タセク氏も、「これらのアプリケーションは、IT部門が従業員のためにインストールしたボットネットだ」と指摘した。

　実際、エンタープライズ管理アプリケーションは、ボットよりも潜在的な危険性を含んでいる可能性が高い。その多くが、Windows、Linux、メインフレーム・システムで稼働するクロスプラットフォーム・プログラムであり、監視の難しい独自プロトコルを使って通信を行っているからだ。

　そのうえ、管理アプリケーションはインターネット・ベースの攻撃から守られている“社内のネットワーク”に導入されるため、かえって監視の目が行き届かなくなっている場合も少なくない。したがって、ファイアウォールをすり抜けた攻撃者や社内の人物に乗っ取られる危険はある、とゴールドスミス氏は指摘した。

　また、導入するアプリケーションの数が増えると、それらのアプリケーションが悪意のある動きをしないかどうかを監視する作業は一層困難になる。

　「稼働しているエージェント・アプリケーションの数の増加に伴い、セキュリティの問題も深刻になる。ネットワーク上で40種類から50種類のプロトコルを使っていると、ファイアウォールによって守られている領域がどこからどこまでなのかがわからなくなってしまう」（ゴールドスミス氏）

ポイントは「ユーザー認証機能」を有効にすること

　そうしたなか、ゴールドスミス氏とタセク氏は、Black Hatでの研究発表の中で、エンタープライズ管理アプリケーションの脆弱性を克服するための12の手法を取り上げた。

　両氏は、1つのシナリオとして、エンタープライズ・ネットワークに侵入した攻撃者が1台のマシンを乗っ取るという事例を示した。エンタープライズ管理アプリケーションが使用するエージェント・ソフトウェアが稼働しているマシンでは、このエージェントが攻撃者に乗っ取られることで、エンタープライズ・ネットワーク全体のエージェントを管理している中央管理コンソールに接続される危険性があるという。「この時点では、ほとんど『ゲームオーバー』の状態だ」とタセク氏。

　攻撃者らがエンタープライズ管理アプリケーションをターゲットにしているという証拠は見つかっていない。しかし両氏は、エンタープライズ・プラットフォームのセキュリティ面の脆弱性を指摘する研究結果が相次いで発表されている以上、自社のネットワークが攻撃にさらされる危険を認識し、システムの安全性を高めるために、取り急ぎ簡単な対策から実施する必要があると、ITマネジャーたちに呼びかけた。

　管理製品の脆弱性に注目しているセキュリティ研究者が、この数カ月間で最も注目しているが、アンチウイルス・アプリケーションとエンタープライズ管理アプリケーションだ。

　今年7月、米国イーアイ・デジタル・セキュリティは、マカフィーのリモート・セキュリティ管理ツール「ePolicy Orchestrator（ePO）」のセキュリティ・ホールを公表した。この脆弱性が攻撃者に悪用されると、ePOの管理下にあるリモート・システムで不正なファイルが稼働させられる危険があるという。また、マカフィーの「Security Center」やシマンテックの「Antivirus」についても、過去数週間に、同様の脆弱性に関するリポートが提出されている。

　エンタープライズ管理ソフトウェアの品質を確認するために、第三者に監査を依頼することもできる。また、より基本的なレベルでは、エンタープライズ管理ソフトウェアを導入する際、システムに搭載されているセキュリティ管理機能の種類をベンダーに問い合わせてから、それらの管理機能を有効にするという対策もある。

　ゴールドスミス氏は、「われわれが発見した問題点の多くは、認証を強化する（エージェントと管理コンソール・レベルである種のアクセス管理を実施する）ことで回避することができる」と強調した。

　一方、タセク氏は、問題を悪化させている要因として、エンタープライズ管理システムに搭載されている強力なユーザー認証機能などのセキュリティ機能が、製品出荷時のデフォルト設定で無効になっている場合が多いという点を指摘した。

　「まずはユーザー認証機能を有効にすることが何よりも重要だ。さもないと社内ネットワークにボットネットを導入してしまうことになる」（タセク氏）

(ポール F. ロバーツ／InfoWorld オンライン米国版)