セキュリティ問題

伺かシステムの仕様が策定された時と現状では環境が変わっています.

現在の環境から考えると,伺かのシステムは大きな脆弱性を抱えていると言える状態です.

このページは,その脆弱性の内容と,対策方法(4パターン)について記載します.

伺かシステムの脆弱性

基本的には,通信先を検証できない状態で,実行ファイルをダウンロードし, ローカルシステムで実行してしまうことが問題です.

主に2つの経路があります.

  • 新しいゴーストのnarファイル,またはそのURLをD&Dしてインストールする
  • ネットワーク更新によって,新しいファイルに更新する

伺かシステムでは,上記の2つの経路とも高い頻度で実行されます.

いずれの経路でも,ゴーストのファイルにはDLLファイルなどの実行ファイルを 含めることができ,それが実行されますので,利用者のPCを自由に利用することが可能です.

問題になるケース

まず,ゴースト作者が悪意のあるファイルをアップロードした場合, もちろん被害に遭います.

伺かでは多数のゴーストをインストールするのが通常ですので, 被害に遭う可能性も高まります.

また,ゴースト作者が信用できるなら安全…という単純な話でもありません.

ゴースト作者が信頼できたとしても,悪意のある第三者により, 偽のファイルをダウンロードさせられて,被害に遭う可能性があります.

特に以下のような状況では,非常に簡単に(ツールをちょっと使うだけで)偽のアーカイブファイルに差し替えることが可能です.

  • 無線LANを利用していて,その無線LANの電波到達範囲に悪意のある人がいる場合
    • ただしWPA2暗号など強い暗号を利用していて,暗号化無しの環境には接続しないように設定している場合は安全と思います
  • LANを利用していて,そのLANに悪意のある人が接続できる場合

悪意のあるファイルが含まれた偽のファイルをダウンロードさせられたら, マシンはウィルス・ボットに感染し,被害に遭います.

最近のウィルス・ボット状況

昔はウィルスは愉快犯としてばらまかれるケースが多かったため, 少ない種類のウィルスが大量にばらまかれていました.

しかし,現在は金銭を得るためにウィルスやボットが配布されています. 大量にばらまけばアンチウィルス等に対処される可能性が高まるため, 配布量が少量のケースも多く,アンチウィルスソフトで検出されない リスクも高まっています.

ウィルス・ボットに感染すると,以下のようなリスクが考えられます.

  • PC上の情報(個人情報など)が盗まれる
  • Webサイトにアクセスする際のID・パスワードが盗まれる
    • オンラインバンキングのアカウントや,ネットゲームのアカウントが盗まれる等
  • PCが他のPCやサーバへの攻撃に利用される

脆弱性の解消方法案1(作者による署名を行う)

作者によって,アーカイブに署名を行い,その署名を検証するようにします.

ゴースト作者は,ベースウェアを使って最初にアーカイブを作るときに,鍵の生成が行われます. 同じPCで以後アーカイブを作ると,同じ鍵で署名が行われます.

ユーザがネットワーク更新するときは,同じ作者による署名が行われているか検証し, 正しくなければ拒否します.

これによって,ネットワーク更新が安全になります.

メリット

  • 既存の仕組みをほぼそのまま利用できる
  • ゴースト作者の負担もほとんどない.D&Dしてアーカイブを作成するプロセスが少し変わるだけ.

デメリット

  • 新規のゴーストインストールについては防御できない(悪意のあるゴースト作者による被害は防げない)

脆弱性の解消方法案2(権限を落とす)

ベースウェアを実行する権限を落として,被害を最小限にする.

メリット

  • 既存の仕組みそのまま
  • ゴースト作者の手間はゼロ

デメリット

  • Vista以降じゃないと無理?
  • 管理者権限へのアクセスは防止できるが,ゴースト自体の悪事(ローカルのファイルを外部に送る等)は防げない?
  • どこまで制限できる?

脆弱性の解消方法案3(ゴーストに実行ファイルを含めない)

ゴーストから,問題となる実行ファイルをすべてなくす.

ベースウェアは,何らかの共通の言語(例えば組み込み向けのLua言語)を搭載し, SHIORIはその言語上で動くものに置き換える.

組み込みの言語では,PCへのファイルアクセス等を制限し,セキュリティを担保する.

メリット

  • 新規インストール・ネットワーク更新ともに安全
  • ゴーストの自動インストールも安全に行える
  • ゴーストによる悪事(ローカルのファイルを外部に送る等)も防止できる

デメリット

  • 既存のゴーストの移行は大変
  • ベースウェアから提供される機能を超えた範囲について,ゴースト独自に提供することはできなくなる
    • PLUGIN/2.0 の仕組みを利用するしかない
    • プラグインのインストール時は,セキュリティリスクが生じる(自動化はできず,やるなら手動で?)
    • 以下の方法でリスクを低減することができる
      • ベースウェア・プラグインの配布を,SSL証明書のある公式ページからに限定する
      • プラグインに問題があったときは,公式ページから削除し,内容をアナウンスする
      • ソースを提供してもらい,内容確認してから公開とかすればベストだが,たぶんそこまで時間を割ける人がいないと思う

脆弱性の解消方法案4(実行ファイルホワイトリスト案)

ベースウェアが,安全なSHIORIのホワイトリストを保持し, ホワイトリストにない実行ファイルの利用を拒否するようにする.

ホワイトリストは安全な方法で(HTTPSサイトからのDLもしくは署名による検証)自動更新できるようにする.

メリット

  • 新規インストール・ネットワーク更新ともに安全
  • ゴーストの自動インストールも安全に行える
  • ゴーストによる悪事(ローカルのファイルを外部に送る等)も防止できる
  • 既存のゴーストはメジャーな栞であればそのまま動く

デメリット

  • ホワイトリストにない栞は使用できなくなる
    • マイナーな栞が使えなくなるかも
    • 新しく栞を作ろうとするユーザが減ってしまうかも

トップ   編集 凍結 差分 履歴 添付 複製 名前変更 リロード   新規 一覧 検索 最終更新   ヘルプ   最終更新のRSS
Last-modified: 2010-05-07 (金) 22:58:40