あぁ、もうどうしよう…!と、最悪の気分になりましたよ。...ん?そう言えば、前回のブログ記事も全く同じ書き出しでしたね。さすがは今年が本厄なだけあります。でも、今回はサーバーのダウン、しかもハードウェア系の事故でしたので、影響も大きく、皆様にも大変ご迷惑をおかけしました。再度、重ねて、ここにお詫び申し上げます。(詳しいことはこちらのニュース記事で)
pic server maint
 
ものすごく久しぶりの、数時間を越えるサーバーダウンでした。目がちかちかしながら、未明にデータセンター技術者まだ換装終らんのか...といらいらする経験は、確か8年ぶりです。RAIDという、恐らく現在ではほぼ全てのネット上のサーバーが用いているだろう仮想化および冗長化を可能にする機器のしくみなのですが、それが壊れてしまい、新品を交換するも思い通りにシステムに馴染まず...という、まさにハードウェアにまつわる問題でした。ちなみに、お客さまの1人が指摘されたような、ここ数日やたらと耳にする「Ghost Shell」の被害ではありませんので、あしからず(笑)。そうだ、これについて今回は書きましょう。
 
この、大阪が生んだ世界に誇るSFオタク漫画家、士郎正宗原作の映画(「Ghost in the Shell」)をそのまま取ってきたようなクラッカー(一般には「ハッカー」ですが、セキュリティ業界では「悪い」連中たちを「クラッカー」または「ブラックハット」と呼び区別します)集団は、世界の超有名大学を含む100施設ほどのコンピューターシステムをクラックし、中から個人情報~主に教職員のメールアドレス・パスワード・自宅住所など~を合計12万件程度奪ってネット上に公開した、と報道されていました。では、どうして大学なのでしょうか。
 
この業界では知名度を上げるために、あえて大学などの公共性の高い機関のサーバーシステムを狙うという方針のようなものがあります。これに対して、ロシアや旧東側などの「がちに金目のもんを狙ってまっせ」という方針のクラッカーたちは、東欧マフィアなどの犯罪組織とはじめから手を組んで、カード会社などの金になる情報を盗む傾向があります。でも、実は大学という機関が、意外とコンピューターセキュリティーに甘いという現実も、彼らの標的になりやすい理由だと考えられます。だって、労せずに征服できた方が、彼らも楽ですからね。
 
大学組織は、よく言えば自由なんですが、学部や研究室単位でUNIXサーバーの管理を任せているところもまだまだ多いのです、「教育目的」として。で、研究室や学部単位でのメンバーに必ずしもサーバー管理やセキュリティー事情に精通した人がいる訳でもないため、結果として、usernameとpasswordの管理はうるさく言うが、file systemではpermissionの設定だけ気にするなどという、通り一遍の対策しか施さないことが多い。shellアカウントを学生に与えるのはよいのですが、LinuxのchrootやFreeBSDのjailといった実装を活用しておらず、なんかroot権限の管理者が見ている画面をスカスカに見れてしまう場合なども多く危険です。個人的にたくさん経験してます(笑)。
 
実際、かなり緩いというか自由なんです。でも、私などはそのお蔭で、いわゆる「理系」でもないのにUNIXシステムを大学時代にたくさん使わせてもらい、興味の向くままにサーバーというものにはまっていきました。CAL時代には、自分でも何してるのか...と首をかしげながらも、EECS(Electrical Engineering & Computer Science)学部が無料で教えるシステム管理者のクラスまで嬉々として取っていましたからね!ほんと、何してんの?それが今のホスティングビジネスに繋がっているのですから、あの時間も無駄ではなかった...のか?人生分かりません。
 
でも、CALもそうでしたが、世界に向けて理工学系でぶいぶい言わせる大学は例外なく、そのEECS学部が中心になり、キャンパス全体を統括するネットワーク高度技術集団を組織して、中央集権的に全学部のコンピューター利用をきっちり監督していました。だからこそ、その堅牢さの中で、学生にshellを貸し出し、大いに自由に勝手なことをやらせる、ということが可能になるのでしょうね。「やれるもんなら、やってみぃ」という余裕が感じられるぐらい、自由なshell環境でした。BSD系UNIX発祥の地の面目躍如でした。
 
これは、私が大学院を過ごした東工大も似たポリシーを敷いていました。日本の大学のネットワークはもっとガスガスであると聞いていたので、驚いた覚えがあります。UNIXのshellをくれるのですが、外に出る通信にはポートをほとんど閉めているのです。おかげで、研究室からどうやってSSHのトンネルを掘って自宅の端末に触るか、という、これまたあまり研究と関係のない事柄に、当初たくさん時間をかけたことを思い出します。「壁」があるから、人は学ぶのですねぇ。ほんとうか?
 
こうして考えてみると、今回、Ghost Shellが襲った超一流の大学群に、かような体制がなかったとは到底思えません。恐らくは、外側に向いていてたまたま脆弱なサーバーを見つけてとりあえず侵入し、あとは堅そうな理工学系のサーバーなど見向きもせずに緩そうなところを見つけて入り、malwareなどを仕込み、そこから拡張して諸々の個人情報を奪っていったのでしょう。いやらしい連中ですね。
 
こういうわけですので、結論めいたことを書くとするならば、中途半端なセキュリティ知識と技術で自社サーバーなどは立てないことを、強くお勧めします。そうした技術は日進月歩ですから、はなから諦めて専門家に任せるに限ります。もっとも、彼らの説明がある程度なら分かるという程度ぐらいは、誰かがITに長けている必要はあるでしょうが。
 
私も、非公開のサーバーならともかく、外部と繋がるサーバーについては、そのハードとOSレベルでのケアを、弊社と契約する最先端データセンター会社の高度な技術者たちに委託しています(ほうぼうを調べて見つけてきました)。そして、自分たちではサーバー管理のよりソフトウェアな「サービス利用」のエリアに特化して、直接お客さんの環境を整備することに注力しているのです。結果は異常なまでのセキュリティ。Ghost Shellもなんのその。安心して、お任せくださいませ。
ブログトップへ

 blog update calendar

June 2019
MoTuWeThFrSaSu
272829303112
3456789
10111213141516
17181920212223
24252627282930