V.S.A. III

こんにちは、五十嵐智です。情報処理推進機構(IPA)から、平成20年秋期情報処理技術者試験の午後分の解答が公表されました。

情報セキュリティアドミニストレータの午後 I 問 2 設問 3 を眺めてみたのですが、ちょっと首をひねるような解答でした。ウィルスに感染している PC を「ハブ」に接続した場合、DHCP サーバから IP アドレスを取得しなければ、あたかもウィルスが拡散しない(二次感染しない)かのように読める解答です。

本当に DHCP サーバから IP アドレスを取得しなければ、単に PC をつなぐだけならウィルスは拡散しないのでしょうか。

もし、情報セキュリティに携わる人たちがそう考えているのだとしたら、一大事です。

私の現状では、テストする環境がないのですが、次のようなテストをすれば、簡単に確かめられるはずです。

1. ネットワークに接続されて稼動している PC を LAN から物理的に取外す。
2. LAN 内の存在する他の PC に定期的にポーリングするようなプログラムを実行する。
3. PC を LAN に物理的に接続する。

さて、2 のプログラムからのポーリングは失敗するでしょうか。これがウィルス感染だったらどうなるでしょう。机上でしか考えていないのですが、たぶん、これで実証できるはずです。

しかも、IP のレイヤーでなくても、下位層で活動するウィルスがあったら、IP アドレスは関係なくなります。そういうウィルスが現存するかどうかはわかりませんが、技術的には可能なはず。IP より下位の層に脆弱性(リスク)が存在する可能性を見逃してはいけません。

「DHCP サーバから IP アドレスを取得しなければ、単に PC をハブにつなぐだけならウィルスは拡散しない」と思っている方は、この機会に、是非とも考えを改めるべきでしょう。

【追記 2008/12/05】

ちょっとタイムリーな記事を見つけたので追記しておきます。

DHCPサーバー機能を持つウイルス出現、非感染パソコンを悪質サイトに誘導：ITpro

　今回出現したウイルスも"原理的"には同じ。異なるのは、ウイルスに感染したパソコンではなく、同じネットワークに存在する非感染パソコンに被害を与える点。

　 今回のウイルスは、感染すると、そのパソコン上でDHCPサーバーを動作させるとともに、ネットワークを流れるデータを監視する。そして、別のパソコンが 正規のDHCPサーバーに対して送信した問い合わせパケットを見つけると、その問い合わせに対して偽の応答を送信する。

　偽の応答には、攻撃者のDNSサーバーを参照させるような設定情報が含まれる。このため、この応答を受け取ったパソコンは、攻撃者の意のままに、悪質サイトに誘導される恐れがある。

このような「ネットワークを流れるデータを監視する」ウィルスの場合、原理的には自分自身が IP アドレスを持っている必要がありませんね。

カテゴリ：情報セキュリティ

<< 法律施行2題＋国際協定1題 | Main | CISSP ブログの相互リンク、キャンペーン実施中！ >>