先日、サーバでよく使われている機能に、凶悪なバックドアが仕掛けられているのが発見されました。
現在のシステムは、様々な礎の上に成り立っています。
こうした状況の中、どのようにして安全性を保っていくのか、少し考えてみましょう。
xz事件
圧縮ツールに「XZ Utils」というものがありますが、
サーバにはほぼほぼ含まれている機能となります。
こうしたツールも定期的にアップデートがなされていくわけですが、
アップデートともに悪意を持ったコードが含まれたのが今回の事件です。
バックドア、つまり、サーバ内にそうしたプログラムを配置することで、
外部からアクセスできる「抜け道」を用意し、接続できるようにするわけです。
今回、この悪意のあるコードが含まれたXZのバージョンが広く配布される前にこの脆弱性に気がついたとのことで、
大きな影響はなさそうです。
ただ、この脆弱性に気がついたのは、本当に偶然のようです。
明らかに、悪意を持って仕込んでいる
なぜ脆弱性が仕込めたのか。
こうしたツールは、メンテナンス権限のある人間がプログラムを改修し、配布することになります。
一般的には、改修者以外の人間が内容を確認し、リリースすることになるでしょう。
今回についても、この辺りの仕組みが動いていなかったわけではなさそうです。
メンテナンス権限のある人間が、悪意を持って仕込んだようです。
※ただし、このメンテナンス権限のある人間について、権限を持つようになった経緯が若干怪しそうな気配です。
「リスク」と考えるしか・・・
現在のシステムは、様々なプログラム資産を使って成り立っています。
把握しきるのはほぼ不可能でしょう。
つまり「大丈夫だろう」と信じて使っているわけです。
また、「何かあっても最新版にアップデートしていけば対策ができるだろう」との考えがあります。
しかし、今回のように悪意を持って仕込まれた場合、
そしてそれに気がつけない場合、
ほぼ全ての利用者にとっては打つ手がありません。
(今回発見したのも、たまたまです)
システムを使う際は、
「必ずリスクは存在する」と考え、
最悪の事態に備えて策を準備するのが現実的でしょう。
「悪意」を無くすのが一番ですが、
人類史上、それを達成できたことはまだないですね・・・
メルマガ『Professional's eye』
"意見が持てる"デジタルコラム
週1回配信、3分で楽しめます。
送信いただいた時点で「Privacy Policy」に同意したとみなします。
広告を含むご案内のメールをお送りする場合があります。
