2013-03-24

"カッコウはコンピュータに卵を産む(上/下)" Clifford Stoll 著

さらに一冊、本棚の奥から目線を送ってくるヤツがいる。たまには再読月間なるものがあってもええか。十年前であれば、一度読んだ本を読み返すなんて、専門書でもない限り考えもしなかった。ブログってヤツが、気まぐれの範疇を広げるのか?おまけに、推理小説ばりの展開が一気飲みを誘い、今日も朝日が眩しい。

カッコウといえば、種間托卵で知られる。托卵とは、他の鳥の巣に卵を産みつけ、仮親に育てさせる習性のこと。そこで、仮親が自分の卵だと思い込んで温めてくれるか?これが運命の分かれ目となる。ハッカーは、カッコウの生態とよく似たやり方でスーパーユーザになりすまし、コンピュータに卵を産みつける。システム管理者は、それに気づかず卵の実行を放置し続けるのだった。
かつてハッカーという言葉は、技術者魂を感じさせるものであったが、コンピュータ犯罪の代名詞へ変貌していく時代。この物語は、著者クリフォード・ストール自身が、コンピュータ侵入者を追跡した体験談を綴ったものである。彼はこの事件をきっかけにセキュリティの専門家となるが、あくまでも一介の天文学者であることを強調する。当初コンピュータの素人だったそうだが、システムを監視する辛抱強さは研究者の資質がなくては勤まらない。あらゆる現象や行動を日誌に記す執念。「文章のないところに現象はない」というのが、天文学者たる者の鉄則だという。いまやネットワークノードは天文学的な数字で点在する。しかも、宇宙と同じく、均等化よりもクラスタ化を望むかのように。そこに天文学者が関わるところに因縁めいたものがある。
研究能力は天才的な機転や着想にかかっていると思われがちだが、地道な努力と集中力、そして何よりも継続力が問われる。天才的な発想とは、普段から思考を試みている結果なのであろう。そして、ハッカーの側にも同じことが言えそうか。ここで紹介されるシステムへの侵入方法に、天才的な閃きがあるわけではない。むしろ独創性の欠乏を執念で補っていると言うべきか。その意味で、追跡する側と追跡される側の人間性は似ているのかもしれん。

時代は80年代と古く、コンピュータの脆弱性とユーザの認識は、今とは比べ物にならないだろう。だが、システムの安全性に関する問題は、本質的に変わっていない。それは、仮に完璧なセキュリティシステムが存在したとしても、操作するのは生身の人間だということである。パスワードが絶対に盗聴されないとしても、メモを貼ったり、デフォルトのまま放置したユーザも少なくない。完全な暗号鍵をこしらえたとしても、どこかに鍵を渡す伝言経路が存在する。すべてのユーザが危機管理に認識を高めたとしても、睡眠口座、永眠口座、幽霊口座のようなものが生じる。長期間使われない口座は俺のモノ!としてしまえば、ハッカーも銀行屋と同じ人種か。
だからといって怪しい者を片っ端から締め出しては、コンピュータネットワークの利便性を根本的に否定することになる。利便性とリスクのバランス、この問題は人間社会に永遠に付きまとうであろう。建て前では、軍、国防企業、ネットワーク運営機構など、どこのシステムも機密の厳重さを宣伝する。一旦、審査機関がシステムの安全性にお墨付きを与えれば、欠陥に関する情報は抑えこまれる。そして、ある程度の専門知識を持った一般ユーザの方が、その危険性をよく把握していたりするものだ。安全神話には、官僚化しやすいという特性がある。要するに、人間の思い込みってやつほど厄介なものはない。群衆パニックを恐れるあまりに肝心な情報が隠蔽されるという構図は、人間の政治的特質と言うべきであろう。ただの一人が問題を指摘しても、それを不都合に思う多数派によって揉み消させるのがオチよ。そこで今、オープンソースのような経済モデルがどこまで機能するかが問われている。いわば、民主主義の在り方のようなものが...

1. 侵入経路
物語は、ローレンス・バークレー研究所から始まる。BSD系unixを生んだカリフォルニア大学バークレー校のそば。この研究所は、かつてマンハッタン計画の一翼を担っていたという。だが、1950年代、主要研究はローレンス・リヴァモア研究所に移転し、機密の束縛から解放される。コンピュータの性能はやや劣るものの、ネットワークが自由に利用できる空気に研究者が群がる。
まだメインフレームが主力の時代とはいえ、人気機種はVAX。OSはDECのVMSとバークレー流unixが併用される。計算機室では、VMS信奉者とunix権威者が議論の応酬。著者クリフは、天文学研究のかたわらシステム管理者となる。90年代初頭でも、システム管理を専門技術とする意識が薄く、ちょいとマシンに詳しい者が仕事の合間にやったものだ。彼もその類いであろうか。
さて、ハッカーの侵入経路を眺めるだけでも、なにやら懐かしいものがある。その発端は75セント。コンピュータ使用料が75セントだけ合わない。原因究明は新米管理者にうってつけの仕事と思われた。使用料の請求がなければ、誰も侵入者に気づかないというお粗末さ。
侵入者は、バークレー研究所を足場に、Milnet経由で軍事施設や世界中の基地のコンピュータを物色してまわる。Milnetとは、米国防総省の軍事研究用ネットワークで、当初インターネットの前身だったARPANETから独立していたが、インターネットの一部となった。ちなみに、日本の研究機関に、JUNETというのがあった。ニュースの閲覧などで利用したものだが、これが日本におけるインターネットの前身になろうか。
侵入口は、telnetポート番号23と通信レート1200ボーを確認、すなわち、電話回線。バークレー研究所は、世界中のコンピュータを結ぶ通信サービス会社タイムネット(TYMNET)に加入していたという。この頃、既にパケット通信が主流のようだ。パケット経路を測定すると、到達時間が異常に遅い。侵入者は月の住人か?やがて逆探知によって、DATEX-Pネットワークからのアクセスが確認される。DATEX-Pは、タイムネットのドイツ版で、ブンデスポスト(ドイツ連邦郵便局)が運営管理しているという。なるほど、地球の裏側からの侵入であったか。とはいえ、アメリカからDATEX-Pにアクセスして、逆戻りしているかもしれない。逆探知の精度を高めるために偽の機密ファイルをちらつかせたりと罠を仕掛け、ドイツ当局は侵入者の名前と居所を押さえた。だが、FBIの正式な要請がなければ動けないという。しかも、外部に情報を漏らすことができない。クリフはただ指をくわえて、侵入者のコマンド監視を続けるのだった。

2. セキュリティホールと侵入の手口
侵入の手口は、atrun をまがいのファイルにすり替えて、システムが卵を返すというもの。unixシステムには、atrun を5分おきに実行する仕組みがある。その常駐デーモンは、atd。ちなみに、コマンド at はキューにスタックしたジョブを指定の時間に実行させるが、その仕掛けを利用したもの。当然、atrun は一般ユーザには手の届かないシステム領域に格納される。スーパーユーザの情報が漏れているのか?
GNU emacs には一つ、いかんともしがたい脆弱性があったという。誰でも、どこでもファイル転送ができるという開放的な思想なだけに、保護領域にもファイル転送ができてしまうとか。emacs開発者リチャード・ストールマンは、なによりも情報は万人の財産であると強く主張した人物。研究者たちが、GNUに群がったのは言うまでもない。しかも、多くのシステム管理者は、その穴を知らずに放置していたとか。ちなみに、guestユーザの権限や、ftp の anonymous がデフォルトで許可されていないか?などは最初にチェックするものだが、昔は穴を塞ぐよりも、とりあえず高価なマシンをネットワークにつないで、それから考えていたような気がする。
こういう穴だらけのシステムに対して、VMS信奉者はunixを揶揄する。だが、プログラム固有の穴は、ちょっと知識のある人なら誰でも知っていて、対処法の情報交換も盛んに行われていたという。むしろ問題にするならVMSの欠陥の方だという。バージョン4.5 にはトラック1台くぐれる穴があるとか。DECは穴を塞ぐソフトを配布しているが、外部にはひたすら隠していたという。ちょっと待て!VMSは、国家安全保障局が許可し、安全のお墨付きを与えていたではないか。一年間かけた検査では、DECがちょっと手を入れて、くぐり抜けたんだとか。既に5万台の欠陥コンピュータが出回っていたという。
いまやコンピュータシステムの脆弱性を、製造メーカ1社に委ねるのは危険である。この世に完璧な安全システムが存在しないとしたら、安心を買う方法には2つある。危険性を承知した上で自己防衛に励むか、危険性に目を背けて神に祈るか。尚、前者は情報公開という厄介なものが前提され、後者は知らぬが仏の原理が働く。そりゃ、幸せな方を選ぶかぁ...
ハッカーは、ps -eafg と叩いている。プロセス状態を表示するコマンドだ。unix系を使ったことがある人なら、ps aux を一度は叩いたことがあるだろう。fフラグがバークレー版にないことから、旧世代のunix信者だと分析している。
また、ハッカーはパスワードファイルをコピーしてまわっている。パスワードは暗号化されているが、これをどうするのか?どうやらパスワードを解読している模様。
さらに、ネットワークプログラムに目をつけている。telnet と rlogin のソースをコピーしようとする。いずれもユーザコマンドを送信するプログラムで、トロイの木馬を仕込むのにおあつらえ向き。telnet をちょいと手直しするだけで、パスワード盗用プログラムに変貌するのは言うまでもあるまい。今では、telnetを禁止して、sshにしているが、それで大丈夫なのかは分からん。
また、バークレー研究所で最も無防備なElxsiコンピュータが紹介される。建設設計グループが導入して一ヶ月ほど。ハッカーは、UUCPアカウントに入り込む。なんと、パスワードも聞かれない。おまけに、UUCPアカウントに最初から特権を与えている。思いがけずスーパーユーザになって慌てた模様。ハッカーは、Elxsiの性能を測定するプログラムを実行して、警戒心を煽らないように、そっと入り口を塞いで去っていった。

3. パスワード破り
パスワードファイルを取得したところで、文字列は暗号化されていて、解読はほぼ不可能である。当時の標準暗号は DES でアルゴリズムは公開されいてるが、暗号化方向は一方通行。ハッカーは、暗号解読のアルゴリズムを編み出したのか?その可能性を否定はしない。だが、人間が思いつく文字列は、だいたい何らかの意味をなす。しかも、覚えられるようなキーワードにするだろう。ハッカーは、片っ端から辞書にある単語を入力するという原始的な手法を用いているようだ。そして、辞書に載った単語から、暗号プログラムに通したリストを作るのは難しいことではない。生成された暗号文字列を照合させるだけで、パスワードを解読することができる。こういう指摘は古くからある。だから数字や特殊文字を混在させることが奨励される。
また、暗号解読のアルゴリズムを編み出したとしても、100%の精度を求める必要はない。25%でも、4回のトライで当たる計算。ちょっと根気のある人なら、すべてのユーザに対して10回づつぐらい試すだろう。ロールプレイングゲームなど、アイテムを探し出してパワーアップしていくようなストーリー性は、このような根気を要求する。解読できた時の快感を味わう心理原理は、ゲーム性の確率に支配されている。ユーザ名義がばれるだけで、しかも、ユーザの一人が貧弱なパスワードを設定しているだけで、かなり危険な状況にあるというわけだ。人為的なミスや悪行から完璧にシステムを守ることなどできるのだろうか?今の標準暗号は AES に代わったが、量子暗号が標準化されたとしても、鍵を受け渡す伝言経路は完全に保護できるのだろうか?

4. 官僚組織の重い腰
冷戦時代、東西ドイツは諜報活動の最前線。ハッカーはドイツ駐留米軍基地を物色している。ハッカーの侵入した企業は...

・ユニシス: 機密厳重が表看板のコンピュータメーカ。
・TRW: 軍用ならびに宇宙開発用コンピュータメーカ。
・SRI: 軍からコンピュータの機密保護システム設計を請け負っている。
・マイター: 軍用の機密厳重なコンピュータを設計し、NSAのコンピュータ安全監査を担当。
・BBN: Milnetを構築。

いずれも、政府から多額な補助金を受けとる羽振りのよい超大企業。機密保護システムの設計、製造、構築、監査に携わっていながら、自社コンピュータには出入り自由ときた。だが、銀行ネットワークには見向きもしない。機密情報をKGBにでも売るつもりか?
FBIは、たった75セントの被害?と門前払い。CIAとNSA(国家安全保障局)は興味を示すものの、管轄はFBIだと主張。空軍省OSI(特別捜査課)は、Milnetをいかにして防御すべきか苦悩するものの、具体的に動けない。国家コンピュータ安全センターは、コンピュータの保安基準を定めるのが仕事で、運用上の問題には関与しないと言い切る。んー...どこぞの原子力規制委員会みたいなことを。どこの国でも官僚の動きは鈍い。
しかーし、アメリカの高級官僚のレベルでは、ちと違う。CIAは陰ながらすぐに情報収集に動く。コンピュータ安全センターの科学主任ボブ・モリスは、クリフをNSAの副長官ハリー・ダニエルズと面会させる。モリスは、AT&Tベル研究所でUnixのパスワード保護機構を開発した人物だという。彼は、プログラムやシステム固有の問題があるにせよ、それを把握するのはシステム管理者の責任だと指摘している。
さらに、NSAの副長官という雲の上のような存在が、第二次大戦中、日本の暗号機をいじくっていた人物で、ネットワークの専門用語がすらすらと通じる。しかも、この手の事件で記録の大切さを十分理解している。現場をしっかりと把握し、危機意識を持ったお偉いさんが、官僚組織の中に一人いるだけで国家は救われるのだろう。おそらく、組織の優秀さというものは、こういう一人に支えられるものなのだろう。大概の組織では、こういう人物ほど異端児扱いされ、葬られるものだが...

5. ウィルス騒動
これはハッカー事件とは関係ないが、ウィルスが増殖する被害が発生し、全米のunix達人たちが立ち上がった様子を紹介してくれる。組織化されていない技術集団が、暗黙の組織となるのは壮観!
ウィルスはメールシステムを攻撃。sendmailの穴から侵入し、finger と telnet で、他のコンピュータに乗り移る。通常、sendmailに電子メールを送りつければ、滞りなく宛先に届いて用は足りる。だが、異常があった場合、発信者は誤りを検出して、デバックモードを要求することができる。これが裏口。デバックモードでは、コマンドを受け付ける。ここに、ウィルスが実行されるように仕組まれたという。中には、sendmailの穴を悪用されないように修正している管理者もいたそうな。
もう一つのルートが、finger デーモン。fingerはユーザ情報を表示するコマンド。これは、512文字の容量がある。ウィルスは、536文字を送りつけた。はみ出した24文字はどうなるか?コマンドとして実行されるだけのことよ。
ただ、いずれも繁殖するだけでデータを破壊しないのだから、ウィルスというよりワームか。ネットワーク負荷を増大させるのだから、有害であることに違いはない。犯人の名は、ロバート・T・モリス。ボブ・モリスの息子だ。あのポール・グレアムは息子モリスにメールで聞いている。輝ける大作戦の成り行きは?と。2000台を麻痺させたが、あまり出来のいいワームではなかったらしい。これで、父モリスのNSAでの立場が悪くなる。ワームにせよ、ウィルスにせよ、性質が分かれば治療できる。この場合、sendmail と finger デーモンの穴を塞いで、パスワードを変更し、システムに増殖したウィルスを除去すればいい。とはいえ、そう簡単でもないだろう。ウィルスは2日ほどで撃退したという。結果的に、NSAの息子のおかげでシステムの脆弱性の認識を高めることになった。
いまや、パスワードの盗用被害はますます勢いを増し、インターネットは国際謀略の手段と化した。ネットワークという巨大な怪物を相手取るのは、あくまでも生身の人間であることに変わりはない。利便性とリスクのトレードオフとは、自由と平等の関係と類似したものに映る。

0 コメント:

コメントを投稿