近年では、PC がサイバー犯罪者によるさまざまな攻撃を受けることは、ごく当たり前のこととなりました。PC には、外部から内部への不正な侵入を防ぐ手段だけでなく、悪意あるコードが自ら攻撃者への接続を確立したり、ワームがユーザ情報を勝手に外部に送信したりするなど、内部から外部への不正な通信を防ぐためのセキュリティ対策が必要です。また、攻撃者は開いているポートを利用したり、一般的なネットワーク技術を悪用したりといった単純な手段でPCにアクセスしてくることも少なくありません。
境界への攻撃
正規のユーザも、攻撃者も、利用が許可されている利用可能なポートを通じてシステムに接続することに変わりはありません。企業LANの境界外部に置かれているPCは、特に攻撃を受けやすくなりますし、開いているポートが多いPCほど、攻撃者にシステム侵入の手段を多く与えることになります。したがって、ローカル
PC へのポート・アクセスを適切かつセキュアに制御することが重要になります。
内部への侵入者
開いているポートを閉じれば、包括的なエンドポイント・セキュリティのポリシーや設計が不要になるというわけではありません。PC
のポートを閉じたとしても、適切なセキュリティ対策が行われていない場合には、脆弱なネットワーク・プロトコルを悪用するなどして、攻撃者がPCに侵入してくる可能性があります。Windowsシステムでは、ほとんどの標準的なネットワーク・プロトコルや
Microsoft 独自のネットワーク技術がデフォルトでサポートされており、これらはしばしばハッカーによる攻撃の標的となります。
NetBIOS
一連の API を通じてファイルおよびフォルダを共有することを可能にし、ローカル PC から Windows ネットワーク上のリソースにアクセスできるようにします。SMB(Server Message Block)プロトコルおよび CIFS(Common Internet File System)プロトコルを使用することで、リモート PC 上のファイルやフォルダをあたかもローカル PC 上にあるかのように扱えるようになります。PC の所有者は、フォルダ(場合によってはドライブ全体)を読み取り/書き込み可能にして、同僚などの他のユーザのために制限なしのネットワーク共有を設定してしまいがちですが、これは、マルウェアやハッカーに侵入の窓口を提供することにもつながります。設定が不適切、あるいはセキュリティ対策の施されていないネットワーク共有は、悪意のあるユーザやプログラムの格好の侵入口となります。その結果、システム・ファイルを改ざんされたり、PCを乗っ取られたりする可能性があります。例えば、Nimdaワームは、無防備なネットワーク共有を探し出し、そこに自身をコピーすることで短時間のうちに感染を広げました。
Anonymousログオン
例えば空のユーザ名およびパスワードを使用するなどで、クルデンシャル無しに確立された通信セッションは、「NULL セッション」と呼ばれることがあります。 NULL セッションは、ユーザやグループ、ネットワーク共有、パスワード・ポリシー情報を共有するために使用されます。例えば、ローカル・コンピュータにおいて Local System アカウントで実行されている Windows NT サービスは、NULL セッションを確立することでネットワーク上の別のサービスと通信を行います。また SMB プロトコルは、これまでも PC のシステム情報を入手しようとする攻撃者によって頻繁に悪用されてきました。ユーザ/グループ情報(ユーザ名、最終ログオン日時、パスワード・ポリシー)やシステム構成情報、および一部のレジストリ・キーは、NetBIOS Session ServiceへのNULLセッション接続を使用して入手することが可能です。こうしたシステム情報は、ハッカーが標的となるWindows PCに対してパスワードの推測攻撃やブルート・フォース攻撃を仕掛けるために使用されます。
リモート・プロシージャ・コール
Windows システムでは、リモート・プロシージャ・コール(RPC)を使用することで、ある PCで実行されているプログラムからリモートPC上のコードを実行することが可能です。このRPCに関して、現在までに少なくとも3つの脆弱性が公表されており、ハッカーは脆弱性のあるホスト上でLocal System権限を用いて任意のコードを実行する方法を把握しています。これらの脆弱性のうちの1つは、Blaster/LovSAN/MS Blaster ワームおよび Nachi/Welchia ワームによって悪用されました。この他にも、RPC コンポーネントに対してサービス妨害(DoS)攻撃を仕掛けることのできる脆弱性が複数発見されています。
Web 閲覧時の脅威
最後になりますが、攻撃者は、Web の閲覧に対しても攻撃を仕掛けることが可能です。悪意のあるコードを含む
Webページを作成することにより、そのページを表示しただけで Web ブラウザの脆弱性を突くことができるのです。こうした攻撃の大半は、クロス・サイト・スクリプティングによる攻撃と同様、シェアの高いWebブラウザを標的に行われます。Webベースのネットワーク・アクセスを許可している企業は、クッキーやローカル・ファイルの漏洩、ローカル・プログラムや悪意あるコードの実行、あるいは脆弱性のある
PC の乗っ取りといった新たな脅威に直面することになります。ビジネス環境においては、Internet Explorer(IE)が広く使用されていることから、ほとんどのケースでは
IE が標的とされています。
Web ブラウザの脆弱性の例
- Internet Explorer: クロス・サイト・スクリプティングおよびクロス・ゾーン・スクリプティングの脆弱性とActiveX
Data Objectモデルの不適切な使用により、攻撃者はセキュリティを回避してローカルのHTMLドキュメントを実行したり、システムのセキュリティを侵害する任意のスクリプト・コードをドキュメントに挿入します。この問題は、すべてのパッチが適用されたWindows
XP SP2 + IE 6.0 環境にも存在することが確認されています。
- Mozilla/Firefox: 「nsMsgCompUtils.cpp」の境界エラーにより、特別な細工を施した電子メールの転送時にヒープベースのバッファ・オーバーフローが発生する可能性があります。
- Opera: URL を新しいブラウザ・ウィンドウまたはフレームで開いたとき、JavaScript 権限の不適切な制限により、URL のクロス・サイト・スクリプティングに対して脆弱となります。