【AOLクライアントがファイアウォールの穴になる危険性】(執筆:林檎大王)
チャットやインスタントメッセージで人気の高いAOLのクライアントアプリケーションに重大なセキュリティホールとなりうる危険性が指摘されている。
問題となるのはいわゆる「AOL接続ソフト」でAIM(AOL Instant Messenger)には問題はないと考えられる(理由は後述)。
特集
特集
問題となるのはいわゆる「AOL接続ソフト」でAIM(AOL Instant Messenger)には問題はないと考えられる(理由は後述)。ちなみに以下の記述は国内でドコモAOLが行っているサービスに対するもので、海外のAOLが同じような問題を抱えているのかどうかまでは確認していない。
◆1.問題の概要
問題は「AOL接続ソフトを起動してAOLにサインオン(ログイン)すると、たとえそのコンピュータがファイアウォールの内側にあったとしてもAOL接続ソフトを介してインターネット上の各種攻撃にさらされる」というもの。現在AOLでは主に2種類の接続方法が利用されている。一つはPPPによるダイアルアップ接続、もう一つはドコモAOLがTCP/IP接続もしくはISP/LAN接続と呼んでいるもので、企業や学校のLANなど、既存のTCP/IPネットワークを利用してAOLに接続する方法である。PPPによるアクセスポイントへのダイアルアップ接続ではグローバルIPアドレスが割り当てられるため、インターネット上の各種攻撃にさらされるという危険性も容易に認識できると思う。おそらく市販のアプリケーション形式のファイアウォールツールなどで自衛している人も少なくないはず。問題となるのは後者のTCP/IP接続で、具体的に内部でどのような通信をしているのかが見えにくいため盲点となりやすい。
そもそもこの問題を提起するきっかけになったのは、とあるAOLユーザの以下のような報告である。大筋は、
「PC/AT互換機にLinuxをインストールしダイアルアップルータ兼サーバとして常時接続で利用している。Linuxマシン上ではApacheが動いていて80番ポートへのアクセスは全部そこで受け付けている。またipchainsによるIPマスカレードを行っていて、家庭内LANはインターネットからきちんと隔離されている。スタティックマスカレードの設定は一切行っていない。なのにプライベートアドレスしか割り当てていないLAN上のMac OS Xが動くMacintoshでApacheの設定をしていたところ、ApacheのログにNimdaワームによる攻撃が記録されているのを見つけた。ちなみにLAN内にNimdaワームに感染しているマシンはない。」というもの。その後本人の調べで、
「攻撃元はすべてaol.comドメインを持つグローバルIPが割り当てられたコンピュータであること、AOL接続ソフトを起動中にのみNimdaによる攻撃が記録されること、Mac OS X上でAOL接続ソフトを起動しAOLにサインオンするとppp0というネットワークインターフェースが現れること、ppp0にはグローバルIPアドレスとドメインネームが割り振られること、ppp0に割り振られるIPが番号的に攻撃元のIPと近いこと、PPPによる各種ポート(HTTP、FTPなど)での通信がトンネリングされて単一ポートでの通信に置き換わっていること、aol.comドメインを持つ攻撃元のコンピュータはppp0に割り振られているドメインネームとドメインネームのパターンが同じことからサインオン中の一般ユーザが使用するコンピュータだと考えられること」
などが確認されている。ちなみにMac OS X用のAOL接続ソフトは現在ベータ版が開発されている段階だが、AOL会員なら誰でもがダウンロードして使用することができる状況にある。
◆2.PPPのトンネリングについて
PPPのトンネリングというのは一般にはなじみが薄いと思うのでわかりにくいかと思うが、PPP over TCPなどをキーワードに解説を探してもらえると良いと思う。特定のIP間での通信の中に、全く別のIP間でのPPP通信を埋め込むことができるようになる。このPPPトンネリングの一番の問題点は、PPP接続したコンピュータ間で例えばHTTPポートやFTPポートなどを介して通信が行われていたとしても、それらがHTTPやFTPとは全く関係のないポートを介した通信に置き換わってしまうということである。つまり、もしファイアウォールで各種ポートを閉じる設定をしていたとしても、この場合AOLで使用されるポートが空いていさえすれば、ファイアウォール内でAOLを利用中のコンピュータにはPPPを経由して各種ポートを通った攻撃が届く可能性があるということである。
◆3.検証
実際に上記の報告を元に各プラットフォームで問題が起きるのかどうかをあらためて検証してみたところ、WindowsとMac OS Xで問題を確認することができた。現在AOL接続ソフトが動くプラットフォームはWindows(95/98/Me/2000/XP)、Mac OS(9.2.1以前)、Mac OS Xの3種類だが、バージョン9.2.1以前のMacOSではデフォルトでは同時に複数のネットワークインターフェースが扱えないというOS上の制限があるために問題は起きないと考えられる。おそらくPPPのトンネリングなどの処理もアプリケーションレベルで処理しているだろうし、アプリケーション内に何らかの攻撃が届いたとしても、その攻撃がOSに到達する手段がないと考えられる。
(執筆:林檎大王)
(詳しくはScan本誌をご覧ください)
《ScanNetSecurity》