|
|
■URL
http://www.vertexlink.co.jp/entry.html
http://www.securecomputing.com/
4月22日、都内にて「ネットワークセキュリティセミナー」が開催された。主催は、セキュリティ製品販売の株式会社バーテックスリンク。セミナーには、米Secure Computing社から講師が招かれ、ハッキングの最新事例を紹介するとともに、実際のハッキングのデモを行なった。
初めに登場したのは、Secure
Computing社ディレクターのJeff Moss氏(写真右)。「今ここにある危機」のタイトルで最新の事例を紹介した。同社は、ファイアウォール製品「SideWinder」や、ワンタイムパスワード認証サーバー「SafeWord」などで知られている。Jeff
Moss氏は、「インターネット上で2,500ものハッキングツールがただで手に入れられる。実際はジャングルの中にいるようなもので、何がいるかわからない」とインターネット上のリスクをあげた。また、現在の脅威として、ハッキングの自動化ツールにより急増した「Script
Kiddies」と呼ばれる少年ハッカーの登場や、自動化ツール自体の機能強化をあげた。
続いて、同社のテクニカルマネージャー、Colin
Smillie氏(写真左)によるセミナーは、「最新セキュリティ診断法」をテーマに進められた。パスワードによる認証は不十分として、パスワードによるセキュリティのリスクをあげた。ここで、興味深いのは、パスワードに関する「ユーザーの習癖」。ロンドンの金融街で実施した調査によると。回答者の30%が「性的な言葉、または、上司の名前の乱用」、16%が「パートナーの名前、ニックネーム」、15%が「お気に入りの観光地」、13%が「お気に入りのスポーツチーム/選手」をパスワードとして設定していたという。米国空軍が最初にハッキングされた時は、軍のセキュリティマネージャーのペットの名前「carmen」をパスワードに設定していたため、容易に破られたとのこと。
次のセッションでは、両氏が実際にハッキングデモを行なった。ここでは、「Microsoft IIS Server」のハッキングを例に、エラーメッセージなどによるIISのバージョン/装備オプション情報の入手、そして、ファイルをオープンして改竄する作業をステージ上で進めた。また、これらの作業をすべて自動化するツールを利用したハッキング手法も披露した。今回のセミナーでは、「セキュリティポリシーの存在」と「内部ユーザーの危険性の認識」「セキュリティ製品の利用」を企業ユーザーのセキュリティ対策として提案した。
('99/4/22)
[Reported by okiyama@impress.co.jp]