ご利用になる前に必ずお読みください このPDFファイルの内容についてのご質問・お問い合わせは株 式会社アスキー・メディアワークスでは一切お受けできません。ご 自身の責任においてご利用ください。 この作品は、クリエイティブ・コモンズの表示-非営利-継承 2.1 日本ライセンスの下で ライセンスされています。この使用許諾条件を見るには、 http://creativecommons.org/licenses/by-nc-sa/2.1/jp/をチェックしてください。 このファイルをクリエイティブ・コモンズの表示 -非営利-継承 2.1 日本ライセンスに 基づいて利用する際には、下記クレジットを必ず作品や配布物に表示する必要があります。 クレジット: ●文/吉田 史(Ubuntu Japanese Team) ●デザイン/シオズミタロウ ●初出 /株式会社アスキー・メディアワークス「 Ubuntu Magazine Japan vol.05 」 (http://ubuntu.asciimw.jp/)2010 年 8 月 31 日発行 Ubuntuをもっと安心に使いたい!! Ubuntuのセキュリティっ て実際どうなの? どこま でケアすべき? 基本的な ギモンを解消して、自分の PCを自分で守ろう! ●文 吉田史 (Ubuntu Japanese Team) まじめに学ぶ!! なぜ Ubuntu には デフォルトでセキュ リティ対策ソフトが 入っていないの? 同 時 に、 Ubuntuで は「 roo t権限は必要な時にしか使われな 「オイシイ」からだ。 なユーザがいるWindowsの方が の踏み台にする」ことが目的の ウ イ ル ス 作 者 に と っ て は、 膨 大 んだり、スパムメール送信のため 「Lin そもそもの基本として、 uxを デ ス ク ト ッ プ 用 途 に 利 用 し ている場合は、感染しうるウイル スやトロイの木馬・ワームの類が 非常に少ない」ということがある。 結果として、 「アンチウイルスソ フトウェア」のような防御ソフト ウェアは必須とは言えないし、現 実的に大きな問題になっていない。 こ れ がUbuntuに ア ン チ ウ イ ル スソフトウェアが含まれていない 理 由 だ。今 の と こ ろ は、 「不安な ら自分でClamAV(ウイルスス キャナ)を動かす」レベルで十分 だと言える。 Windowsに比べるとシェアが 圧倒的に低いので、ウイルスの類 の絶対数が少ない、という側面も ある。これは要するに「ウイルス に感染させることで、クレジット カード番号などの重要な情報を盗 ウイルスを気にする 必要が そう高くないから 01 答 疑問 Question い」ということもポイントだ。W 権 indowsの場合 Administrator 限で利用してしまう人が多いだ ろうが、Ubuntuではrootでロ グインしている人はいないはずだ。 一般ユーザーの環境でウイルスを 踏んでも、システムに感染する可 能性は低い。適切にsudoを使っ ていれば、システムは安全に保護 さされた状態を保てるだろう。 ま た、 Ubuntuの よ う に パ ッ ケージ管理が自動化されたシステ ムでは、 「ウイルスに感染する危 険がある」ソフトウェアには早々 に更新がかかるので、ウイルスに 感 染 し に く い 土 壌 が あ る、 と い うことも事実だ(たとえば、Wi ndowsで 利 用 さ れ る「 Microsoft 」ではFlashやFirefo Update xなどは更新されないが、Ubun tu環 境 で は ま と め て ア ッ プ デ ー トされる) 。 さ ら にUbuntuに は デ フ ォ ル トで『AppArmor』という、 「ソ フトウェアが本来のものとかけ離 れた動作をできないようにする」 ソフトウェアが含まれている。た とえば、 「PDFビューワのはず のEvinceからメールが飛ぶ」と か「 Firefoxからなぜか /etc/ へのアクセスがある」と passwd いったことは自然にはありえな い。 こ う し た 動 作 は、 た い て い が「何か悪いファイルを開いてし まったせいで、本来ありえない動 作をしている状態」だ。AppAr 油断すると感染しかねない。イン ターネットに直接接続するような のワームが多数存在しているので、 たり、 「 Ubuntu.com 以外からダウ ンロードしたtorrentファイル を使うと、ウイルス入りのUbun tuイ メ ー ジ が 落 ち て く る 」 な ん てこともあった。 また、サーバとして利用する場 合は少々状況が違う。SSHパス ワード認証を自動的に繰り返し て、システムに不正にログインし た上で、SPAMメールを流した り、 あ る い は「 さ ら に 他 の タ ー ゲット」への踏み台にするタイプ 「出所の不明なソフトウェア」も 非常にキケンだ。スクリーンセー バーにキケンなものが含まれてい Linuxを狙うウイルスも、も ちろんたくさんあったが、具体的 な被害を与えたものはあまり多く ない。歴史的な話を知りたい場合 は、 https://help.ubuntu.com/com を見てみると munity/Linuxvirus いいだろう。 具体的な被害を 与えたものはあまり 多くない Ubuntu/Linux を狙った ウイルスって 過去にあった? 場 合 に は、 「 ufw ssh limit れによって、ウイルスに感染した 」して り、なんらかの「活動」が発生す おく、パスワード認証を禁止して る危険性は大きく抑えられている。 おくといった対策が必要だ。 morはこうした、 「ありえない動 作」を禁止するための機能だ。こ 02 答 疑問 Question 32 正しい経路で正しく 使えばP2Pソフト自体 には何の問題もない アヤシイものを落としていない 限 り、そ し て、 「ブロードバンド ルータ」越しに利用している限 り、特にセキュリティ的な問題は になると厄介だ。 実 際、 過 去 に 自 称「 U bun tuの 公 式 CD 」 と い う 名 目 の で落とせるファイル BitTorrent に、トロイの木馬が入っていて、 それを使うともれなくウイルスに 感 染 し たUbuntu環 境 が で き あ がる、というものもあった。対策 は簡単で、合法的なものなのだか ら公式サイトからTorrentファ イルを入手しよう。このファイル のハッシュ値さえ確認しておけば、 実際にダウンロードされたファイ ルはクライアントが自動的に検証 してくれる。もちろん著作権違反 的なものを落とすのは論外で、そ もそも危険のカタマリだ。 な い。 BitTorrent は色々なホス 『 「ブロードバンド こ こ で は、 トに接続するので微妙に危険に ルータ」越しに利用している限り も 思 え る が、 き ち ん と し た 作 法 大丈夫』というのがポイントだ。 で BitTorrent 「インターネットに直接 を使っている限り、 それは、 接続している 」と、 「P2Pネッ ダウンロードによって何かに感染 する可能性はないと言えるだろう。 トワーク経由でIPアドレスを識 ただし、 ダウンロードした「モノ」 別して感染するワーム」の餌食に なる可能性があるからだ。イー・ が、そもそもウイルスやトロイの モバイルなどのデータ通信カード 木馬に感染していた、ということ を使って接続していたり、PPP oE設定などをして直接外に出て いる場合は、 「普段よりもリスク が高くなる」と思っておいた方が いいだろう。P2Pソフトを使っ ていようが使っていなかろうがリ スクは大きくは変わらないものの、 少なくとも「直接接続した状態で、 時間ずっと動かし続ける」とい うのは止めた方が無難だ。 また、P2Pを含めた「 上り 」 の回線負荷をかけすぎると、IS Pによっては帯域制限がかかる可 Windowsを狙っ たウイルス、 WINE上で 活動しちゃうの? W I N E でIEやFirefox を動かす意味はあまりないので、 ウェブ経由での感染はあまり起こ あくまでWINEで動くウイル スは、 「動きそうなウイルス」を 探した上で、WINE上で設定を 変更しておくと動くことがある、 というレベルだ。 「知らない間に WINE上で感染して動作してい る」ようなウイルスは少ないし、 なにより、 「感染しそうなリスク があまり多くない」ことがポイン トだ。 まず結論から言うと、WINE 上でWindows用ウイルスの一部 は動いてしまう。ウイルスの類も 本質的には「Windowsで動作す るある種のアプリケーション」な ので、WINE上でも動く可能性 があるからだ。そして実際、WI NEが進化しているため、 「動か そうと思って頑張ると動かせる」 と い う 状 態 で、 そ う い う 研 究 も あったりする。 動くかもしれない が、困る事態になる 可能性はとても低い 04 答 疑問 Question らないだろう。 「知らない間にW INE環境にウイルスが感染して いて、色々活動していた」という ことは少ないはずだ。 仮想環境に入れた Windowsにも セキュリティ 対策って必要? 感染する余地がない使い方をす るのなら、セキュリティ対策はし なくてもいい……と言えなくもな い。ただし、一般的な使い方の場 合、 「感染する余地がない使い方」 と 「セキュリティ対策をすること」 の費用や手間を考えると、セキュ リティ対策をする方がよほど簡単 だ。ウェブブラウザは使わない、 必要のないUSBメモリは装着し ない、不要なネットワークサービ スは全て停止する……と、徹底し て行うのなら感染の危険はなくな る。が、ここまでするぐらいなら、 セキュリティ対策のためにきちん とアップデートをかけたり、アン チウイルスソフトウェアを導入す る方が確実に楽なはずだ。 仮想環境であっても、セキュリ ティ対策はした方がいい。特にア ンチウイルスソフトウェアが重要 だ。な ぜ な ら、 「ウイルスに感染 したことに気づけるか」というこ とが一つのポイントになるからだ。 アンチウイルスソフトウェアの本 対策をしていない 仮想マシンは普通の マシンと同様に迷惑だ 05 答 疑問 Question 質は、 「ウイルスに感染しないよ うにする 」ことではない。 「ウイ ルスの存在を検知する」ことだ。 他のOSと同じ程度 でありうる Ubuntuに スパイウェアって あるの? Ubuntuに も ス パ イ ウ ェ ア は ある。ただし、クレジットカード 番号や住所のような「バレたら明 らかにマズいもの」を収拾する ような極悪なものは現状、Ubun tuでは見つかっていない。また、 極悪なものはウイルスとしてCl amAVな ど が 検 出 し て く れ る は ずだ。が、トラッキングクッキー のような「どんな経路でサイトに たどり着いたのかチェックする」 ものは素通しだ。しかし、これは 正直、アンチスパイウェア業界的 な点数稼ぎのために検出している だけで無害なので防げなくても困 らない。ホンキでマズイものから は安全だと思ってOKだ。 33 24 能性がある。こちらは利用規約を 確認しておくといいだろう。 扌完全に防ぐことは難しい。が「信頼できないソ フトはインストールしない」というのが原則だ。 Ubuntu で BitTorrent など のP2Pソフトを 使ってるとどんな 問題が起きる? ➡ダウンロードしたロー カルデータの検証をして おけば、正しくダウン ロードできたかのチェッ クになる。 06 答 疑問 Question 怪しい経由からは入れない 03 答 疑問 Question ファイルの検証 に行ってしまう」可能性があるか らだ。これらの場合は、アンチウ い方法が分からない」場合。こち らは、 「自分からウイルスを踏み なってくる。あとは放置してもO Kだ。 てしまう、というのがポイントに 的な設定を後で紹介する。セキュ リティを確保する場合、ラクをし たければ最初に少しだけ設定をし ターの表示で「 Canonical は 〜〜 〜 の重要なアップデートを×年 ×月まで提供します」と書かれて いるもの)だけを使うべきだ。同 様に、ブロードバンドルーターな どを使っているのであれば大丈夫 だ が「 イ ン タ ー ネ ッ ト に 直 接 接 続している」場合もリスクは高 い。ファイアウォール設定も行う べきだろう。これも含めて、基本 Windowsと濃厚 ClamAVと商用アンチウイル スソフトウェアの最大の違いは、 「対応しているウイルスの形式の 量」 だ。ClamAVのパターンファ イル(ウイルスなどを検知するた めのデータベース)は、有志のボ ランティアによって提供されてい る。商 用 ソ フ ト に 比 べ る と、 「新 しいウイルスが出てきてから、そ れがパターンファイルに組み込ま れるまで」の時間は長くなる。ま メできるものでもない。 ンをかけるぶん、動作が遅くなる ことを考えると、手放しでオスス い) 。より安全に使えるようにな るわけだが、アンチウイルスソフ トウェアにかかる費用や、スキャ また、商用アンチウイルスソフ トウェアには、メール関連の通信 内容やHTTP通信の内容を自動 的にスキャン、といった機能が利 用できるものもある(ただし、G mailな ど で 利 用 さ れ る S S L 暗号化通信だとスキャンできな アカウントと た、 「検知可能なウイルスの種類」 「universeからアプ に接触する場合は検 パスワードの管理の さらに、 討すればいい 基本を押さえること! もどうしても少なくなる。 リを入れる可能性がある」場合。 Ubuntuの場 合、universeや 商用ソフトのメリットとして 簡単すぎるパスワードは使わな 特に必須ではない。商用のアン い、離席時に「画面のロック」を に含まれているものは、 チ ウ イ ル ス ソ フ ト ウ ェ ア を 使 わ 「リアルタイムスキャンができる multiverse ものがある」 「ウイルスの種類が 使 う と い っ た 対 策 は し よ う。 思 ソフトウェアセンターで「アップ なくても、ClamAVなどでもた 簡単に調べられる」という点も上 いもかけないリスクは存在しう デ ー ト の 一 部 はUbuntuコ ミ ュ いていは大丈夫だ。ただし、Wi げられる。リアルタイムスキャン る。また、家族でマシンを共用し ニ テ ィ に よ っ て 提 供 さ れ る か も ndowsと デ ュ ア ル ブ ー ト し て い というのは、 「あるファイルを使 ているような場合も、アカウント しれません」と書かれている通 る 場 合 や、 他 の ユ ー ザ と 頻 繁 に お う と し た タ イ ミ ン グ や、 ネ ッ は必ずユーザごとに作ること。全 り、セキュリティアップデートが ファイルをやりとりする場合、S トワーク通信を行おうとした瞬 員共通のユーザを使い回していて、 提供されることは保証されていな ambaなどでWindows向 け フ ァ しかも全員がroot権限を扱える、 い。何かしらの問題を抱えたまま イルサーバを提供している場合は、 間 に ウ イ ル ス 検 査 を 行 い、 な に か不審なものが含まれていた場 なんてのは最悪だ。 になる可能性がある。安全を重視 サードパーティ製のアンチウイル するなら、「main」と「 」 スソフトウェアを入れた方がいい、 合、自動的に利用を禁止する」機 restricted サーバを運用している場合は、 能だ。ClamAVでも、リアルタ Apacheや P H P の 脆 弱 性 だ け に属するもの(ソフトウェアセン という場合もある。自分にとって イムスキャンは実現可能なものの、 でなく、その「上」にある各種ア メリットがあるか考えて決めてほ ちょっとどころでなく設定が面倒 プリケーションの脆弱性もきっち しい。 だ。 りチェックする必要がある。自作 のコードの問題も確認する必要が あるだろう。 イルスソフトウェアに頼った方が いいだろう。 「ウイルスに関する情報 次に、 を集めたくない」場合。こういう ケースの場合、 「××というウイ ルスが流行っている。そして、そ の ウ イ ル ス はUbuntu標 準 状 態 でも感染する。 設定変更が必要だ」 といった情報をつかむことができ ないなら、感染の危険があると言 えるだろう。 ウイルス以外の セキュリティ対策 ってUbuntuでは どうするの? 扌「WEP」や「暗号化なし」の状態はとても危険。 最低でも WPA 以上にしておきたい。 セキュリティに対して ズボラな人は逆に 入れておくべきかも 09 答 疑問 Question 無線LANはWPAで デ ス ク ト ッ プ 用 途 でUbuntu を使っていて、しかもデフォルト のまま、ソフトウェアを一切追加 しない、という場合は入れなくて も可だ。ただし、次の条件に一つ でも当てはまる場合、入れておく 方がいいだろう。 「アップデート をサボることがある」 、 「ウイルス に感染しないためにはどうすれば いいか分からない」 、 「ウイルスに 関する情報を集めたくない 」 、 「u niverseか ら ア プ リ を 入 れ る 可 能性がある」 「インターネットに 直接接続している」 。 こうした条件に当てはまる場合 は、とにかくClamAVをインス トールして、定期的にスキャンす るようにしておくのがいい。それ ぞ れ 理 由 が あ る。ま ず、 「アップ デートをサボる」場合。これは単 純で、各種ソフトウェアが脆弱な サードパーティ製 のアンチウイルス ソフトを使ったほ うがいいのかな? ➡ http://www.avast. com/ja-jp/linux-homeedition ウイルスのデー タベースは自動更新され る。 ウイルススキャナ など、リポジトリ にある対策ソフト は入れるべき? まま、ウイルスに感染する余地を 残したままにしている状態だから だ。次 に、 「ウイルスに感染しな 08 答 疑問 Question avast! Antivirus 07 答 疑問 Question 34 アップデートをきちん と当てて、次のような 設定で運用してみよう 現時点でおすすめ のセキュリティ 対策や設定を 教えてください! 状況が許すなら、Gmailを使 うのもいい。Gmailのスパム自 動判定は非常に賢く、ほとんどの SPAMメールを始末してくれ る。すでに使っているメールアド レスがある場合も、 Gmailの[設 なくて良くなる。 と「 Canonical は〜の重要なアッ プデートを×年×月まで提供しま す」と書かれたものだけを入れる ようにすれば、 「パッケージが古 い ま ま に な っ て い て、 脆 弱 性 が 残っていた」ということは気にし 『 unatten サ ー バ 版 の 場 合 は、 』パッケージをイン ded-upgrades ストールすればOKだ。これによ り、セキュリティアップデートに 限って自動的にアップデートして く れ る よ う に な る。 こ れ で パ ッ ケージ側の安全性は確保できる よ う に な っ た。 後 は ソ フ ト ウ ェ ア の イ ン ス ト ー ル 時 に、 き ち ん 単純に言えば、SPAMメール とにかくセキュリティアップ は防げない。「受け取ってからメー デートをきちんと導入することが ラーで自動的にスパム判定する」 最優先だ。それが面倒な場合は、 ことと、「ISPなどのメールサー [ シ ス テ ム ] [- シ ス テ ム 管 理 ] ビ ス 提 供 者 で フ ィ ル タ し て も ら [ソフトウェア・ソース]を開いて、 う」対策しか存在しない。現在U [アップデートの確認]を「毎日」 buntuで 使 え る 大 抵 の メ ー ラ ー に、そして[確認せずにセキュリ には自動スパム判定機能がついて ティアップデートをインストール いるので、それでチェックするの する]にチェックを入れておくと がいいだろう。 いいだろう。 判定ツールや外部の サービスを使って 上手に始末しよう SPAM メールを 防ぐには どうすれば いいの? 定] [-アカウントとインポート] を 使 い、 外 部 の メ ー ル サ ー バ か ら「POP3を使用したメッセー ジの確認」を使ってメールを吸い 出すようにしておくといいだろう。 Gmailに対象となるメールアカ ウントのパスワードを保存しない といけないのがネックだが、スパ ム対策としては非常に便利なはず 』と『 』 )を導入し amtk freshclam よ う。 導 入 後、 「 sudo freshclam 」 を実行するとスキャンが可能に なる。 [アプリケーション] [-ア クセサリ] [-ウイルススキャナ] とにかくシステム全体を一度ス キャンしておくといいだろう。 [ 拡 張 ] [- ス ケ ジ ュ ー ル ] か ら スキャン時刻を設定できるように なっているので、 「自分がマシン を使っている時間」を狙って設定 しておこう。 「パターンファイル をアップデートする時間」の後に くるように「スキャンする時間」 を 設 定 す る の が コ ツ だ。 ア ッ プ デートをかけるのが 時なら、ス キャン時間は 時 分などとする ことで、最新の状態でスキャンが 可能になる。 「UFW」の利 残りの対策は、 用 だ。 『 gufw 』というパッケージ があるので、これをインストール しておこう。[設定 ] [-システム 管理][フ - ァイアウォールの設定] とたどって起動しよう。 あとは 「動 作中」というチェックボックスに チェックを入れておけばOK。 ➡サーバを運用していな い場合は「動作中」を チェックしておくだけで OK。 12 答 疑問 Question ま た、 ア ン チ ウ イ ル ス ソ フ ト ウ ェ ア と し てClamTK( 『 cl 20 10 11 答 疑問 Question だ。大抵のISPには「メール転 送サービス」もあるので、そこか らGmailに転送してもOK。 20 の一覧が取得できる。ここに、見 たこともないIPアドレスから、 覚えのないアクセス記録が残って いたらアウトだ。 そこで、「自分 (侵 入者)に限っては、ログインして コマ き た こ と を 表 示 し な い last ン ド 」 と い う の を、 オ リ ジ ナ ル の last コマンドとすり替えてお く。こうすれば、いくら本来の管 理 者 が last コマンドを実行して も、なにひとつ痕跡は出てこない、 検出のためのツール というわけだ。同じような方法は があるので定期的に チェックするといい 他にもあって、カーネルモジュー ル(ドライバの一種)として「隠 「不 ルートキットというのは、 蔽」のための機能を入れたり、特 正な侵入を行った人が、そのシス 定の操作をするとroot権限でロ テムを利用し続けるために使う悪 グインできたり、なんてやり口も 意あるツール」のことだ。 存在する。 システムへの不正侵入というの は昔から行われていて、管理者特 こうしたものに対策するため 権を不正に奪取する、というのは のソフトウェアも当然存在する。 よくある話だ。当然ながら管理者 Ubuntuで は『 chkrootkit 』と 側としては、見覚えのないユーザ 『 rkhunter 』というものが準備さ が作られていたり、外部からログ れている。これらは「すでに知ら インしてきた形跡があったりする れ て い る ル ー ト キ ッ ト と、 そ の と、 「乗っ取られた」ということ 存在確認方法」をまとめたもの に気付ける。そうなれば当然、穴 で、 「特定のルートキットが起動 を塞ごうとするだろうし、侵入者 されている場合にだけ発生する特 の排除にかかるだろう。 徴 」 を 色 々 つ つ い て、 シ ス テ ム にルートキットが存在しないか そこで、侵入者はこう考えるわ け だ。 「 …… シ ス テ ム を 乗 っ 取 っ どうかを自動チェックしてくれ たのはいいが、いずれ『乗っ取っ る。 『 chkrootkit 』 も『 rkhunter 』 たこと 』はバレてしまう。なら、 も ロ グ を き ち ん と 読 ま な い と い バレないようにすればいいじゃ け な い の で、 ち ょ っ と 読 む の は ん」 。そして、色々な小細工を駆 難 し い か も し れ な い。 そ れ ぞ れ 使 し て、 「 気 付 か れ に く い 状 態 」 「 FOUND 」 と か「 INFECTED 」 を作るのだ。こういう時に使うテ とか「 Vulnerable 」と か 出 て く る クニックでシステムを汚染するこ 場 合、 何 か し ら 埋 め 込 ま れ て し と全般が「ルートキット」と呼ば まっている可能性がある。サーバ では「 万が一 」もありえるので、 定期的にチェックしておく方がい いだろう。 ファイアウォール の設定 ルートキットって なんですか? どうすれば 対策できるの? れ て い る。 た と え ば、 「 last 」コ マンドを実行すると、それまでシ ステムにログインしてきたユーザ 35 10 答 疑問 Question
© Copyright 2024 Paperzz
