« Safari の RSS に関する問題は解消されました | Main | 死の本 »
ノートパソコンを公衆無線 LAN に接続する人は、そのノートパソコンがインターネットに直接晒されているつもりで、OS やアプリケーションの設定を吟味し、しっかりガードを張っておきましょう。
タイトルに出てきた DMZ は非武装地帯という意味です。攻撃が飛び交っているインターネットと安全を確保された LAN との間にあるゾーンなのでこう呼ばれているそうです。このゾーンにあるマシンはインターネットにサービスを提供しますが、通常は LAN から切り離されています。というよりも、万が一そのマシンに侵入されても LAN が無事なように切り離すべきです。それほどインターネットから接続できるマシンには気を使う必要があるということです。
もしあなたが SSH サーバ(リモートログインサーバ)を建てたいとしたら、そのサーバは DMZ に置くべきではありません。なぜなら、SSH のポートにインターネットから着信すればよく、他のサービスは提供しないからです。もし DMZ に置くのならインターネットからの色々な攻撃を十分に理解し、それに対処できるように OS やソフトウェアを全方位的にガードしなければなりません。それに対し SSH ポートだけでしたら、まずは SSH サービスをきっちり固めればよいからです。SSH が破られたことを考えて更に全方位的にガードすれば多段階のガードになります。でも DMZ に置いたのなら、ほとんど全てのガードが一段階のガードに過ぎません。どちらが楽かは明らかです。
あなたのルータに「静的 NAPT」とか「静的 IP マスカレード」という設定項目はありませんか? それですそれ。それを使って公開したいサービスだけをサーバに接続するように設定すればいいのです。もちろんそうすれば安心というわけではありません。その公開するサービスに対する攻撃を把握して対処しておくのは必須です。
しかし、その部分公開のサーバが LAN にあるのが懸念材料です。LAN から切り離された DMZ のマシンが進入されても LAN は無事ですが、LAN にある部分公開のサーバが侵入されたら LAN ももはや危険に晒されたものになってしまいます。部分公開のサーバでも LAN から切り離しておくのがベストです。
ここで強調したいのは、インターネットに晒されているところにマシンを置くのなら、全方位的にガードをしっかりと固めておかないと侵入されてしまう可能性がとても高いということです。
あなたがノートパソコンを公衆無線 LAN に繋いで利用することがあるのでしたら、そのノートパソコンはたとえ普段は自宅や会社の LAN に接続するのであっても、DMZ に置くマシンのつもりでガードを固めなければなりません。ホテル等の LAN に繋ぐのでも同様です。
先日泊まったところは客室に有線 LAN の接続口があったのですが、そこに繋いで試しに他のマシンと通信できるかどうかチェックしてみました。具体的には ping というコマンドで「LAN に繋がっている全てのマシンよ応答せよ」という感じのパケットを出したのです。何台ものマシンがそれに答えてきました。施設のルータだけと通信できるようにしてあるところもあるにはありますが、それが普通です。こういうところではどこのどんな人のどんなマシンが接続されているかわかりません。無防備なまま、もし誰かがその施設の LAN の別なマシンに対して攻撃してきたらあっという間にやられてしまいます。
また公衆無線 LAN の中には繋いだ機器にグローバル IP アドレスを割り当てるものがあります。例えば FON と livedoor が提携しているアクセスポイントがそうです。グローバル IP アドレスが割り当てられているということは、繋いだ機器はインターネットに剥き出しになっているということです。ホテル等はその施設の LAN 内に悪意がある人がいたら危ないということでしたが、インターネットの中には確実にそういう人がいます。確実にあなたの機器は悪意に晒されています。
あなたのノートパソコンや iPod touch のようなポータブルマシンはインターネットに晒すことを前提としてガードしてありますか?
ファイル共有(Samba)や Web 共有(Apatch)、あるいはリモートログイン(sshd)や画面共有(VNC)をきちんとガードしていなかったり、不必要にサービス状態にしたりしていませんか? OS に付属するファイアーウォールは適切に設定してあるでしょうか? サードパーティ製のファイアーウォールはきちんと利用していますか? Mac OS X ならば ipfw という優れたファイアーウォールの仕組みが入っていますが、サードパーティ製のファイアーウォールの代わりにそれを利用していますか? サービスのログを監視したりしていますか? 共有を許可した iTunes を立ち上げたりしていませんか?
信頼できる LAN でならあまり気にしなくてもいいかもしれません。あまりお薦めしませんがそれもありです。でも、インターネット上でオープンになっていたり設定が甘かったりしたら…。前回大丈夫だったから次回も大丈夫とは全く言えませんよ。リモートログインに対するパスワード総攻撃などは、パスワード認証になっていれば 24 時間以内に必ずといっていくらいで開始されます。Mac OS X のデフォルトではリモートログインサービスはパスワード認証になっています。カフェでコーヒーを飲みながらメールをチェックしている間に、あなたのアカウントのパスワードが破られて侵入さているかもしれません。
Mac OS X のシステム環境設定のように GUI で ON/OFF するサービスはまだいいです。ちょっと面倒ですが自分で制御できますから。でも、ログを記録する裏方のソフトウェアがネットワークからのメッセージを受け取るようになっているかどうかをあなたは把握しているでしょうか? バックグラウンドで起動されているシステムや個人のソフトウェアが外部からの着信を受け付けるかどうかちゃんと把握しいるでしょうか? それを塞いだり停止させる方法を知っていてそれを実践しているでしょうか?
サードパーティ製のファイアーウォールや ipfw によるファイアーウォールで、あなたが普段使用する LAN のアドレスからは接続を許すようにして対策したと思うかもしれません。でも大抵の場合 LAN のアドレスはプライベートアドレスで、同じアドレスの範囲を全く関係のないところで使ってもよいようになっています。接続したホテルの LAN がたまたま同じアドレスの範囲を使っていたら、せっかくのファイアーウォールの設定は役に立ちません。
「そんなに長時間公衆無線 LAN やホテルの LAN に接続しないから大丈夫、そこまで神経質にならなくても」と思いませんでしたか? それは実際に甘すぎる考えです。
私の MacBook Pro にはそういうところで攻撃をチャレンジしてきた記録が残されています。例えば adsl.hnpt.com.vn という名前が割り当てられたマシンからです。これはベトナムのハノイ辺りにあるマシンです。
ポータブルマシンは世界のクラッカーを相手にしている、これは事実なのです。