e知識「e-chishiki.com」では、インドでの著名なIT著者、IT教育者、eセキュリティーの大家により作成された様々な種類のプログラミング言語に関する技術的なコンテンツを知識情報データーベースとして提供します。
週刊e-セキュリティシーリズ(Web アプリケーションセキュリティ)
Metasploit、‘Cain and Able’ などのツールは禁止すべきか?
ヴィジェイ・ムーキ
Metasploit、‘Cain and Able’ などのツールは禁止すべきか?
フリー ソフトウェアとオープン ソースの動きがインターネットに新しい革命をもたらし、いまやユーザーはソフトウェアにお金を払わなくてもよくなりました。Firefox ブラウザ、Apache サーバー、Star Office などの製品が、ネットから無料で簡単にダウンロードできます。Netcraft が行った 2008 年 1 月の Web サーバー調査によると、Apache はサーバーの中で最上位にランキングされており、50% 以上の市場シェアを獲得しています。同様に、ユーザーはきわめて複雑な Internet Explorer よりも簡素でシンプルな Firefox ブラウザを好んで使用しています。インターネットは、間違いなく、さまざまな処理を実行するソフトウェア ツールの大規模開発を生み出しました。そして、オープン ソースの動きにより、ソース コードがパブリック ドメインから入手できるようになったのです。
前述のソフト同様、無料で入手可能なソフトウェアとして、Windows オペレーティング システム用の Cain and Able というパスワード回復ツールがあります。パスワード回復には無数のオープン ソース ツールが存在しますが、このツールは最高傑作です。このコラム執筆時点での最新バージョンは v4.9.10 で、単なるパスワード クラッキングを超えたさまざまな機能を備えています。ユーザーがしなければならないのはこの製品をダウンロードしてインストールするだけで、そのインストールもいたって簡単です。Cain and Able のようなツールでは、暗号化の種類に関係なくすべてのパスワードとユーザーの資格情報をシンプルなテキストで表示できます。このツールは、どのシステム管理者にとっても非常に便利なツールとして実績があります。
物事は何事にも二面性があり、このツールは非生産的な方法でも使用されてきました。ハッカー達が、このツールを使用してパスワードを盗み、私たちのセキュリティ保護されたゾーンへ侵入するのです。しかし、さらに驚くべきは、Microsoft がこれらのツールを禁止するような試みを一切していない点です。その理由は、Microsoft がこれらのツールに対して自社オペレーティング システムを強化しようとすると、Microsoft 自身のほとんどのプログラムが動作しなくなるからです。これらのプログラムが簡単に入手できることから、今日、ハッカーは膨大な数のパスワードを盗んでいます。
では、これらのツールを禁止するのは賢明なことでしょうか。
オープンソース プロジェクトにより実現したツールとして、別のツール ファミリも挙げられます。Metasploit Framework がそれです。現在のものは、その 2 つ目の形です。1 つ目は、Perl で記述されました。そして、2 つ目は Ruby で記述され、1 つ目よりはるかに柔軟にカスタマイズできるようになっています。公の定義では、このツールはセキュリティ ツールとセキュリティ攻撃を記述するための開発プラットフォームということになっています。しかし、実際には主にネット上での一連の攻撃を実行するために使用されています。さらに言うと、このフレームワークにはセキュリティ侵害を実行するための GUI と Web インターフェイスが存在し、それらがフレームワークにバンドルされて付いてきます。このフレームワークの支持者たちは、Web サイトを攻撃するためのセキュリティ侵害を開発する以外には何も行わない新しい業界を作り上げてしまいました。これで十分でなければ、彼らは、セキュリティ侵害ツールを簡単にカスタマイズできるようにセキュリティ侵害のソース コードまで提供することでしょう。
多くの人がこれらのプロジェクトの禁止を望むかもしれませんが、このようなプロジェクトにもやはり建設的な面があります。このフレームワークは、システム管理者が自分のネットワークの脆弱性を検出するのに役立つため、使用者数を見るとシステム管理者の方がハッカーをはるかに上回っているのです。このため、このフレームワークで実行される攻撃は、タイムリーにループホールや脆弱性を修正することで回避できます。また、システム管理者は、ネットワークにストレス テストを行うために使用するカスタマイズ可能なツールをビルドすることもできます。ネットワークをテストする唯一の方法は、攻撃者が使用するのと同じツールを使用することです。つまり、Metasploit で自分のネットワークを破ることができた場合、いつか他のだれかがネットワークを破るであろうことがわかるのです。
それから、たとえばキーストローク ロガーなど、すべてのコンピュータとネットワーク アクティビティを監視してそのログを記録するようなツールも存在します。ハッカーがこのツールをコンピュータにインストールしてユーザーの資格情報を侵害する一方で、各社は、このツールをインストールして合法的な目的ですべてのアクティビティを監視する権利を主張しています。
結論に入りましょう。インターネット上で何かを禁止することは不可能です。ある国では禁止されていて違法なものが、別の国では許容されます。あらゆる地域にまたがってサーバーが散在する状態では、どのツールまたはどのサーバーの禁止も確実に失敗します。
このため、必要なのはサイバー犯罪を取り締まる世界的なメカニズムです。現在は、抑止する手段がほとんどないため、人々が娯楽としてコンピュータに不法侵入します。技術的な知識には乏しい人が、ネット上のハッキング ツールを使用して自分のことをハッカーと呼んでいたりします。スクリプト キディと呼ばれるこのような無知なハッカーは、単なる楽しみのためにコンピュータに不正侵入したがります。これらのツールがネット上で自由に入手できるため、私たちはあらゆる世代の人々にコンピュータに侵入する能力を与えているのです。さまざまな署名や感染したコンピュータを使用してウィルスを記述するウィルス自動生成プログラムのような状況が生まれるのも、長くはかからないでしょう。
一方、世界的に適用される、コンピュータに侵入すると 10 年間の禁固刑が下されるという判決があったとすれば、このような悪ふざけはすぐに止むに違いありません。さらにいうと、クレジット カードの盗難とフィッシングは世界的に重大犯罪と見なされるべきであり、これらに対しては厳重な処罰があってしかるべきです。プログラマがこれらのツールを記述することをだれかが合法的な理由で阻止できるような可能性はありません。私たちが阻止できるのは、それらの犯罪的な悪用です。
最後の手段となる最も重要な作業は、決して侵入されることのないソフトウェアを記述することです。しかし、残念ながらプログラマが自己防御できるソフトウェアを記述し、このようなツールを笑い飛ばせるようになることは極めて困難です。
