TidBITS: Apple News for the Rest of Us  TidBITS#704/03-Nov-03

あなたの Classic Mac OS サーバがスパマーの手助けをしたり、きっかけとなったりしていませんか?Chuck Goolsbee が旧 Mac サーバソフトウェアに内在していた重大なセキュリティ欠陥を発見。しかもそれがすでに悪用されていた、その詳細を掲載する。更にセキュリティがらみで、Glenn Fleishman は最新の AirPort ソフトウェアアップデートで追加された WPA サポートについて検証し、我々も Panther でのセキュリティ修正について触れる。更に今週は、Apple が Panther と外部 FireWire 800 ドライブに関する問題を認めたこと、そして Eudora 6.0.1 のリリースについてお伝えする。

記事:

Copyright 2005 TidBITS: Reuse governed by Creative Commons license
<http://www.tidbits.com/terms/> Contact: <[email protected]>


本号の TidBITS のスポンサーは:


MailBITS/03-Nov-03

Security Update 2003-10-28 リリースされる -- Mac OS X 10.3 Panther は、従前のバージョンの Mac OS X にあったセキュリティ関連の欠陥を数多く修正しているが、それでも時を移さず Apple は先週 Software Update 経由で Security Update 2003-10-28 をリリースした。Security Update 2003-10-28 では、QuickTime for Java に内在する脆弱性を突いたシステムへの不正なアクセスを許す問題を解決している。このアップデートは Mac OS X 10.3 Panther が走っているコンピュータのためだけのもので、782K のダウンロードとなっている。

<http://docs.info.apple.com/article.html?artnum=61798>(日本語)Security Update 2003-11-04
<http://docs.info.apple.com/article.html?artnum=120266>(日本語)Security Update 2003-10-28

他のセキュリティ関連の進展として、Apple は先週、最近発見された三つのセキュリティ問題を Panther では対応済みであることを認めた。同社は、Mac OS X 10.2.8 及びそれ以前で走っているコンピュータに対するアップデートについても取り組んでいる。[JLC](カメ)

<http://www.atstake.com/research/advisories/2003/#102803-1>

Eudora 6.01 リリースされる -- Qualcomm は Eudora をバージョン 6.0.1 にアップデートした。これは数多くの小さなバグ修正をし、そして同社のメールクライアントを Mac OS X 10.3 Panther 対応としたものである。Eudora 6.0.1 は無償アップデートで Mac OS X 用 (5.5 MB ダウンロード) と Mac OS 9 用 (5.7 MB ダウンロード) がある。[JLC](カメ)

<http://www.eudora.com/download/eudora/mac/6.0.1/Release_Notes.txt>
<http://www.eudora.com/download/>


Panther FireWire 問題にも多少の救済策あり

文: Jeff Carlson <[email protected]>
訳: 亀岡孝仁 <takkameoka@earthlink.net>

オペレーティングシステムの新しいバージョンがリリースされる時、テストの期間に振るい落としきれなかったバグや不適合問題に行き当たるのはある程度しょうがないと思われている。今回も不幸な事にかなり厄介な問題が表面化している:Mac OS X 10.3 Panther が、ある環境下では、外部 FireWire ドライブのデータを完全に破壊してしまう可能性がある。そして一旦そうなると、DiskWarrior や Norton Disk Doctor といったディスクリカバリーユーティリティではこのディスクを救う事が出来ないことが報じられている。

先週、Apple は FireWire 800 ドライブで、Oxford 922 ブリッジチップセットを使いファームウェアのバージョンが 1.02 のものに関しては問題が発生する事を特定した。Web に掲載されている事例によると、このドライブが接続されたまま Mac を再起動するとこの問題が誘発されるという;Apple は、Panther を走らせている Mac では、FireWire 800 ドライブの如何なる機種でも直ちにそれをアンマウントし接続を取り外す事を薦めている。

<http://www.apple.com/macosx/firewire800specialmessage.html>(日本語)FireWire 800 対応ディスクドライブをお使いの皆様へ

この事態を受けてファームウェアのアップデートや責任転嫁の声明が次々と発表されることとなった。ドライブメーカーでは、WiebeTech, LaCie, Other World Computing, そして FireWire Direct から自社の製品に関するファームウェアのアップデートがリリースされた (残念ながらファームウェアアップデートはメーカー固有のものなので、自分のドライブのメーカーに問い合わせる必要がある)。このファームウェアアップデートをインストールするには、旧版の Mac OS X が走っている Mac を使う必要がある。

<http://www.wiebetech.com/techsupport.html>
<http://www.lacie.com/support/drivers/>
<http://eshop.macsales.com/Reviews/Framework.cfm?page=/hardwareandnews/oxford/oxfordandpanther.html>
<http://www.firewiredirect.com/site/panther.shtml>

Apple の発表を受けて、Oxford Semiconductor は、この問題は Apple の Panther における FireWire の実装に起因するもので、922 チップセットのせいではない、その証拠に Mac OS X 10.2 Jaguar システムではこの問題は起きていないとの声明を出した。

<http://www.oxsemi.com/>

加えて、ユーザーからはこの問題は何も FireWire 800 ドライブに限られたものではないとの報告が出ている;Mac 作家の仲間の一人は Oxford 911 チップセットを持った FireWire 400 ドライブを使ってこの問題に噛み付かれてしまった。我々としては、当分の間、この問題が解決されるまでは如何なる FireWire ドライブからも Panther を隔離しておくことをお奨めする。どうしても Panther と外部 FireWire ドライブとを使わなければならないなら、Mac を立ち上げた後そのドライブをマニュアルでマウントし、再起動する前にマニュアルでディスマウントするよう気をつけなければならない。そして、何はともあれ、バックアップを注意深く取っておく、それも出来れば CD か DVD、或いはネットワーク上で取っておくよう気を配って欲しい。

もし不幸にしてこの問題のせいでデータを喪失してしまった場合でも、大事なデータをリカバーする多少の望みはある。Prosoft Engineering の Data Rescue X を使ってファイルのリカバーに成功した、中には Disk Utility でディスクを消去した後 (恐ろしく聞こえるかもしれないが、ディレクトリのみを消去する) からでも出来たとの報告を我々も複数聞いている。Design Tools Monthly の Jay Nelson によると、Prosoft は Panther のお陰でデータを失ってしまった人には $10 引きの特典を提供しているという;注文時には割引コード PAN911 を使うように。

<http://www.prosoftengineering.com/products/data_rescue.php>
<http://www.design-tools.com/>

他には、DriveSavers にいる友人によると、彼らもこの問題に遭遇したドライブからデータをリカバーするのに成功しているという。更にいい知らせは、DriveSavers は、この Panther と FireWire 800 のせいでデータを喪失した顧客に対する割引を提供している。もし、DriveSavers や同様の会社に自分のドライブを送ろうと思っているならば、ディスクユーティリティを使ってデータを復旧させる試みを _絶対にしない_ こと;そうすることで問題を更に悪化させ大事なデータの復旧の可能性を下げてしまう可能性がある。(私個人としても DriveSavers を推奨できる。前に一度壊れたハードディスクを復旧させるのを助けてもらった事がある;TidBITS-495 の "DriveSavers 救助隊" 参照)。

<http://www.drivesavers.com/>
<http://db.tidbits.com/getbits.acgi?tbart=05530>(日本語)DriveSavers 救助隊

 PayBITS: Jeff のこの記事はあなたが Panther のバグでデータを消失するのを防 ぐのに役に立ちましたか?PayBITS を通して数ドル送ってみませんか!
<http://www.paypal.com/xclick/business=jeff%40necoffee.com>
PayBITS の説明 <http://www.tidbits.com/tb-issues/lang/jp/paybits-jp.html>


AirPort 3.2 アップデートで新しいセキュリティオプション追加

文: Glenn Fleishman <[email protected]>
訳: 倉石毅雄 <takeo.kuraishi@attglobal.net>

Mac OS X 10.3 Panther のリリースに続き、Apple は先週 AirPort 3.2 Update をリリースした。これには、AirPort Extreme Card と AirPort Extreme Base Station 間のワイアレス接続においての頑丈な暗号化を可能にする Wi-Fi Protected Access (WPA) 暗号化機能が予想通り追加された。AirPort 3.2 ソフトには AirPort Extreme Base Station 用の AirPort Extreme Firmware 5.2 アップデートが含まれている。ファームウェアのアップデート用の単独インストーラは 1.1 MB のダウンロードとしても Apple の Web サイトから入手できる。

<http://docs.info.apple.com/article.html?artnum=120267> (日本語)AirMac 3.2 for Mac OS X 10.3
<http://docs.info.apple.com/article.html?artnum=120268>

WPA 暗号化のサポートの追加はワイアレスネットワークのユーザや管理者達にとって大きなニュースだ。WPA は 802.11 ワイアレス標準の一部だった Wired Equivalent Privacy (WEP) 暗号化機能を直したものだ。WEP はあまりにも多くの欠点や弱点があったため、ハッカーが無料で入手できるソフトを使用して受動的にワイアレス通信を 15 分から数日かけて盗聴すれば WEP キーが簡単に手に入るほどだった ( TidBITS-592 の“ワイヤレスはガラス張り”を参照)。

<http://db.tidbits.com/getbits.acgi?tbart=06520>(日本語)ワイヤレスはガラス張り

WPA は簡単な暗証台詞 (文字列、数字、そして句読点の組み合わせ) を基に暗証キーを作成する。Apple はこれで WEP のアプローチの複雑さをうまく隠してきた。しかし舞台裏では、WPA は WEP が失敗したいくつかの点を直し、ワイアレス通信を保護するための信頼できるものとした。(ワイア有りとワイアレスの混在するネットワークを守るには、バーチャルプライベートネットワーク接続が必要かもしれない。Apple は VPN クライアントとサーバを二種類、Panther と Panther Server で提供している。) WPA がインストールされていれば、ワイアレスネットワークに侵入する唯一の方法は社会的エンジニアリングしかない:つまり誰かにパスワードを明かすよう説得することだ。

初期の WPA の難関 -- 残念ながら、この初めて実現された WPA は三つの理由から失望するようなものだ。“WPA Personal”キー (通常“事前共有キー”と呼ばれるものの Apple の用語) を入力するインターフェースは私達が見慣れた Linksys や Buffalo ワイアレス機器のインターフェースと全く似ていない。8 から 63 文字のパスワード、もしくは 64 のヘックス文字である Pre-Shared Key として入力できる。これは大量の文字であり、しかもこのヘックス版は他の機器で使用できるのかも明らかではない。私は通常の文字ベースの暗証台詞を使用し続けることを勧める。(Apple は彼らが WPA Enterprise と呼ぶもものもサポートしている。これは AirPort Extreme カードのユーザのユーザ名とパスワードを RADIUS サーバで認証することを可能にし、そのユーザに特定の暗号化キーを提供するものだ。) Buffalo や Linksys の機器のインターフェースでは 8 から 32 文字の暗証台詞を入力する。どちらも事前共有キーのヘック ス版は提供していないようだ。

二つ目の失望点は、WPA では WEP しか理解しない機器でも (保安性が下がるものの、WEP と WPA キー双方が働くようにすることにより) WPA 使用のネットワークに参加できるようになっているにもかかわらず、Apple は現在、WEP のみか、WPA のみのネットワークしか可能でない様にしている点だ。

そして一番の問題は、今のところ、802.11b AirPort カードや AirPort Base Station のユーザ達、そして Mac OS 8.6/9.x のユーザ達はこの最新で安全な方法を使用できないという点だ。つまり、WPA に関しては、古いハードウェアを使用している人達は残念でしたということだ。そうある必要は全くない。WPA は既存の 802.11b 機器のファームウェアアップグレードオプションにもなるようデザインされている。もしかしたら Apple と Apple の802.11b 機器の製造元の Agere はこの問題の解決に日夜を通して働いているのかもしれない。AirPort カードに相当する消費者向けのハードウェアの所有者である Proxim は、WPA サポートはそう遠くないと宣伝しているレポートを掲示している。だが、全ての 802.11 b 機器がそのようなアップグレードを考慮して製造されているわけではない。私達の印象としては、Apple の AirPort Base Station は WPA にはアップグレードできないだろうと思われる。収入が見こめないから、ユーザをおこらせたくはないだろうと いう見通し以外には、Apple の優先順位がどこにあるか見当もつかない。

<http://www.proxim.com/learn/library/whitepapers/WPA_White_Paper.pdf>

失望点を脇におき、もし全て AirPort Extreme を使用しているネットワークであるのなら、このアップデートを今すぐにインストールして使用し始めることを勧める。規模の大小に関わらず、どのような環境でも根本的に良いセキュリティを提供するだろう。

AirPort 3.2 アップグレードは 7 MB のダウンロードで、Mac OS X 10.3 以降を必要とし、Apple は AirPort と AirPort Extreme カードとベースステーションに使用することを推奨している。だが、Extreme AirPort 機器以外へのこのアップデートの適用は、WPA が使用できないというエラーメッセージを表示すること以外に目的があると思えない。

Adam Engst と私は私達の本、The Wireless Networking Starter Kit に大掛かりな改訂を加え終えたばかりだ。これには他の新しい話題に加え、WPA の使用とその保安上の基礎に関しての長い説明が入っている。第2版は今月後半に発売開始の予定だ。

<http://wireless-starter-kit.com/>

PayBITS: Glenn の説明は AirPort アップデートの限界をはっきりさせたでしょうか?PayBITS を通して彼に数ドル送っては?
<http://www.paypal.com/xclick/business=glenn%40glennf.com>
PayBITS の説明 <http://www.tidbits.com/tb-issues/lang/jp/paybits-jp.html>


Classic Mac OS Server がスパムに利用される

文: Chuck Goolsbee <[email protected]>
訳: Mark Nagata <nagata@kurims.kyoto-u.ac.jp>
訳: 佐藤浩一 <koichis@anet.ne.jp>

インターネットを駆け巡るスパムの量は、ここ4ヵ月の間に指数関数的な勢いで増加してきている。一体どうやって? それは、スパム送信者たちが、以前には考えられもしなかったほど大量のスパムを送信できるような、新たな方法を発見したからなのだ。残念なことに、おそらくこれが史上最初の出来事なのだが、Mac が、ささやかながらこの問題に関与しているのだ。

ワームやウイルス、その他の形でのネットワークの悪用、これにはスパムも含まれるのだが、こうしたものに対して、これまで Macintosh コミュニティーはしばしば自分たちをそれらとは無縁の、Windows に支配されセキュリティーの徹底していない世界とは隔離された、安全な離れ小島に居るような気になってしまうことが多かった。Mac OS X も、これまでのところは良い成績を残しており、過去のいくつものバージョンの Classic Mac OS も、ことネットワークのセキュリティーに関しては完璧であるかのように見えていた。ただ、私自身を含めて多くの専門家たちに言わせれば、Classic Mac OS が不死身であった理由は意図的な設計によるというよりも、むしろ単なる幸運によるところが大きかったのだ。

今、ついにこの幸運は消え去った。かつては不正利用とは無縁と考えられていた Mac OS インターネットサーバのコミュニティーが、今や実際にスパムとネットワーク不正利用の問題の一部分となってしまったのだ。一体どうやってそんなことが起こったのか? それは、他のすべてのオペレーティングシステムと同じやり方で使用している、あるインターネットサーバが、悪人に不正に利用されてしまったからだ。「デフォルトで開く」として出荷されたソフトウェアと、不正利用を防止するためには正しく自分たちのサーバを理解して設定し直すだけの時間と労力をかけなければならないことを認識していなかったシステム管理者たち、という運命的なる組み合わせの産物というわけだ。

今回の問題において原因となったものは何か? 以前は、スパム発信者たちは主にオープンなメールリレーに依存して発信していた。つまり、インターネット上の誰からでも無制限にメールを受け取って、それをそのまま最終目的地にリレーするメールサーバだ。システム管理者たちやメールサーバの開発者たちがこの問題に気付き、何らの認証も要求せずにメールをリレーするようにメールサーバを設定しておくことの愚かさに気付き出すにつれて、スパム発信者たちは戦術を変更して、新しいツールを利用するようになり始めた。それが、オープンなプロキシサーバだ。

プロキシサーバとは何か? プロキシサーバ(中継サーバ)というのは、内部ネットワーク上のユーザーがウェブサーフィンを簡単に楽しめるようにするソフトウェアだ。通常、ファイヤーウォールによって外部インターネットから保護されているようなネットワークなどで用いられている。その本質を言えば、プロキシサーバはウェブと、内部ネットワークのすべてのユーザーとの間に位置していて、それらのユーザーが発したウェブページのリクエストを外部へ送り出し、送られて来たページを受け取って、それぞれ適切なユーザーの手元に渡す、という働きをするのだ。大きな施設などでは、プロキシサーバを使ってネットワークの能率を向上させたり(なぜなら、プロキシサーバがその内部ネットワークの他のユーザーたちが呼び出したウェブページのコピーを保存することで、インターネットに出て行かずに同じページにアクセスできるから)あるいはコンテンツにフィルターをかけたり(プロキシサーバが悪い単語の含まれているようなウェブページを判別してそれをユーザーの手元に渡すのを拒否すること - 学校のような所ではこのようなコンテンツフィルタのためにプロキシサーバを使っていることが多い)という目的に利用している。

プロキシサーバはセキュリティーを増すのに便利だ、と思われたかも知れない。実際、そのように使うことも可能なのだが、それは有能なネットワーク管理者の手によってきちんと設定・運営された場合、という条件付きの話だ。残念ながら、そのような条件が満たされることは稀なのだ。1990 年代の終わり頃に、良心的なソフトウェアベンダーたち、例えば Windows 市場の Microsoft や Macintosh 市場の StarNine (現在は 4D Inc. に買収されている) などが(それ以外の会社もあるが)プロキシサーバをそれぞれの製品の“ウェブサーバ・スイート”の一部として出荷し始めた。そのような機能を求めるユーザーの声が高まっていたこともあり、実際これは論理的に正しい方策ではあったのだが、セットアップを簡単にしたい、あるいはインストールしただけですべてが即座に動き出すようにしたい、という欲求のあまり、これらのスイート・ソフトウェアは多くの場合プロキシサーバをインストールして起動させるのをデフォルトにしてしまった。さらに悪いことには、内部ネットワークのユーザーだけでなく誰でも無条件にこのプロキシサーバにアクセスできるようになっていた。これらの判断は今日の目から見れば明らかに誤りだったのだが、現実にはこれが今日の我々の育ってきた環境なのだ。その結果、現在インターネット上には至るところにデフォルトでオープンなプロキシサーバが存在している。そして、その一部は Mac で動作しているのだ。

そのような Macintosh 上のインターネットサーバは、今日のインターネット上にどれくらいの数が現存しているのだろうか? 何でもお見通しのインターネットの眼、Google に下記のリンクで尋ねてみればすぐに1つの数字が出る。これは、4D の WebSTAR 4 によってインストールされたデフォルトページを検索するのだ。ただ、たいていのユーザーはこのファイルを消去するか書き換えるかしてしまうので、Google のこのリストは実際の WebSTAR 4 サーバの数のうちほんの一部を示すに過ぎないだろうし、またそれらのサーバが内蔵のプロキシサーバをデフォルトでオンにしているかどうかは分からないのだが。これを試す時には、“repeat the search with the omitted results included”リンクをクリックするのをお忘れなく!

<http://www.google.com/search?q=Server+Suite+4+Test+Page>

オープンプロキシはなぜ危険か? オープンなプロキシのどこに問題があるかというと、インターネット上の誰でも自由にそれを中継基地として利用して、インターネットアクセスに関連する動作ならばどんなことでも実行できてしまうからだ。(Mac OS X でプロキシサーバを使ってどれほど数々のタイプのインターネット上の動作に対応する設定ができるかは、ネットワーク環境設定パネルの“プロキシ”タブを見ればわかる。)最も頻繁に行なわれているオープンプロキシの不正利用は、ローカルなコンテンツフィルタを回避することだ。皮肉にも、この方法の原理は一つのプロキシフィルタを使って別のフィルタを回避させることなのだ。私はこれまで多数のオープンプロキシのログを調べてきたが、ヒット数のうち 95% はこの種類に属するものだった。

スパム発信者たちがオープンプロキシに気付いたのは、どうやら去年のことらしい。これは、オープンリレーを許すメールサーバの数が急激に減ったことが原因と見られる。最近突発的に大発生している Windows/Outlook ウイルスのうちのいくつかは、実はその内部にプロキシのコードを真の正体として隠し持っているトロイの木馬、というのが実体だった。世間を大騒ぎさせた Blaster のような派手なワームたちが各種メディアを含めた皆の注意を引き付けている間に、その陰で他のワームたちが、ほぼ2週間程の短期間のうちに、何百何千という(ひょっとしたらもっと多くの)オープンプロキシサーバを作り出すことに成功してしまった。これらは後日簡単に不正利用が可能になるものなのだ。スパム発信者たちにとって次に必要だったのは彼らのワームが作り出したオープンプロキシをすべて見つけることで、そこで彼らはスキャンプログラムを走らせて利用可能なプロキシを探し出したのだった。

この時だった。Mac が彼らの目にとまったのは。彼らのスキャンプログラムは彼らのワームが産み出したオープンプロキシを探していたのだが、同時にその検索は WebSTAR 3 や WebSTAR 4 を走らせている古い Mac で、その内部に隠されて使用されず知られることもなく存在していたプロキシソフトウェアにも行き当たったのだ。そして、これらの Mac も他のマシンと同様に使える、ということでスパム発信者たちはこれらもカタログに加えてスパムを送信するために不正利用することに使いはじめたのだった。

いったんスパム発信者がオープンプロキシにアクセスを得てしまうと、その人にとっては以下に挙げるようなことのいずれもが、完璧な匿名性の下で、しかも他人の帯域幅を利用して、可能になってしまう:

先週、私は最初にプロキシサーバを内蔵して出荷されたバージョンの WebSTAR を開発したチームの人々のうち幾人かと話を交した。その中には元プロダクトマネージャの人も、実際にプロキシサーバのコードを書いた人も含まれていた。私は、彼らがなぜプロキシサーバを WebSTAR に内蔵させる決断を下したのか、と尋ねた。

この質問への答として、彼らは学校を例に挙げて説明してくれた。授業中、先生が生徒たちにある URL を訪れるようにと言ったとする。すると、生徒たち全員が同じページを同時にダウンロードすることになる。その結果は、パフォーマンスの遅さだ。ところがここにローカルなプロキシサーバを加えれば、外部のウェブサイトへのアクセスは1回で済み、そのコンテンツを全員に配布するのはローカルのみのことになる。つまりそのクラスが学校の帯域幅の大きな部分を占めてしまうのが防げる。その当時そうした帯域幅は 56 Kbps のフレームリレーや 144 Kbps の ISDN 回線に限られていることが多く、場所によっては専用のモデム接続に依っていることさえあったのだから。また、彼らはオーストラリアやニュージーランドなど、帯域幅に制限の加えられているような地域のことにも触れ、そうした地域の顧客たちは消費量とコストを抑えるためにプロキシサーバを必要としている、と説明した。もちろん、それらが現実の重大問題であったことはわかる。私自身、1990 年代の中頃にヨーロッパで働いていた時に、ISP がプロキシを走らせて(当時はキャッシュサーバと呼ばれることが多かったが)大西洋横断の帯域幅のコストを抑えなければならないのが普通だったのを知っている。

この WebSTAR のスタッフたちと話をしながら、私はうちの digital.forest のサーバでは私たちが一度も WebSTAR のプロキシ・コンポーネントをインストールしたことがないことに気付いた。一方、私たちのクライアントが所有する同ロケーションのサーバのいくつかにはインストールされているのを見たことがある。そこで、私は彼らにどうして知らないうちにインストールされてしまうことがあるのかと尋ねてみた。元プロダクトマネージャは、新規インストールなりアップグレードなりがデフォルトでプロキシ・コンポーネントをインストールしたかも知れない状況を説明してくれた。また、こちらはどんな状況下で起こるのかまだ確認できていないが、そのプロキシがデフォルトで開いてしまう場合もあった。そのような場合、今日我々が直面している状況、つまり古い Macintosh ウェブサーバがスパム発信者に不正利用されてしまう状況が作り出される結果となっていたのだった。

このようなサーバが不正利用されていると私が説明すると、彼らは驚きと後悔との入り混じった反応を示してくれた。こんなことを誰かが考え付くなんて夢にも思わなかった、という驚きと、なぜそれが予見できなかったのか、という後悔とだ。私も、彼らと同じ気分だった。そんなことが起こるなんて、予知できる人はいなかっただろうし、仮にいたとしてもほんの少数の人だけだっただろう。7年前、これらの製品が開発されていた頃、スパムというのはネット上の単なる厄介事程度に過ぎなかったし、今日のような、電子メールを蝕む疫病のようなものには、ほど遠かったのだから。

どのようにして不正利用されている Mac を見つけたか -- 今年に入ってまもなく、ネットワーク運営コミュニティーの仲間たちがオープンプロキシの不正利用について話すのを聞くようになった。興味をそそられた私は、この問題を調査している研究者たちの会議で発表された、とても良く出来た論文をいくつか読んだ。

<http://www.uoregon.edu/~joe/proxies/open-proxy-problem.pdf>
<http://spamlinks.port5.com/proxy.htm>
<http://www.westdam.com/spamlinks/proxy.htm>

そう、私はこの問題を何ヶ月も前から知っていたのだが、それがこれほど身近な問題だとは思ってもみなかったのだ。digital.forest では、インターネットのコロケーション・サービスを売り物にしており、Ethernet スイッチ (ここでは、HTTP など特定のサービスではなくサーバの送受信全体に対するトラフィックを記録している) における帯域の設定値を越えた顧客に課金をしている。帯域を多く使っている顧客は大概大容量のウェブサーバを動かしているので、通常は HTTP アクセスログと使用料金を比較している。先月、digital.forest の顧客の一人が、ネットワーク使用料とウェブサーバのログから得られる帯域使用量が大きく違うことに気付き、監査を要求してきた。私は、この不一致を FTPとメールの SMTP によるものだと思っていたが、そうではなく WebSTAR サーバのプロキシが余分な帯域を消費している原因であることを発見したのだった。私は好奇心をそそられさらに調査していき、ネットワークの不正利用に関するニュースグループの記事によって、私たちのネットワーク内のさらにいくつかのオープンプロキシに対して注意を喚起させられた (しかし、 TidBITS サーバでは動作していなかったと喜んで報告したい)。

<http://groups.google.com/groups?selm=59c3aad4.0310192058.6683a403%40posting.google.com>
<http://chuck.forest.net/images/tidbits/port8000.txt>

この公開されたリストを調査してみると、WebSTAR のデフォルトプロキシポート番号である 8000 が 100 以上も見つかり、また明らかに Mac 関連だとわかる DNS 名もいくつか含まれていたので、それらのサイトのウェブ管理者たちにこの脆弱性について知らせようと接触を始めた。多くのウェブ管理者たちと話が出来たが、リストに載っているすべての Mac 所有者全員を突き止めて連絡することは不可能だ。悪いことに、このリストに載っているのはオープンプロキシと思われる Mac のほんの一部にしか過ぎず、さらに悪いことには、Mac は簡単に設定でき信頼性も高いので、初期設定をした人たちの多くは後任の人たちが技術的な経験を充分積む前に異動してしまっているのだ。

あなたの Mac は大丈夫か? -- ワームにより作られた Windows のオープンプロキシが不可視で活動の記録を残さないのとは違い、WebSTAR でオープンプロキシが動作しているかどうかは幸運にも容易に発見できる。WebSTAR 3 あるいは 4 では、Plug-ins フォルダ内の WebSTAR フォルダに WebSTAR Proxy Plug-in がインストールされているかどうかをチェックする。さらに、Plug-insフォルダ内のサブフォルダも確認することを忘れないで欲しい。WebSTAR Proxy Plug-in を無効にするには、それを WebSTAR フォルダ階層構造から取り除き、WebSTAR を再起動する。しかしながら、これを実行する前に WebSTAR アプリケーションに切り替え Plug-ins メニューから WebSTAR Proxy Log を選択して欲しい (これは、以下のリンク先にあるスクリーンショットのようなものだ)。

<http://chuck.forest.net/images/tidbits/ProxyLogMenu.gif>

そうすると、WebSTAR は プロキシサーバの動作を表示するウインドウを開き、そこで現在何が起こっているのかチェックすることができる (以下に示すスクリーンショットを参照)。ウインドウの上部には現在アクティブな接続数、接続回数の合計、総送信バイト数、キャッシュのヒット率 (これは、プロキシが不正利用されている場合には無意味な情報だ)、そして最大接続可能な数が表示されている。ウインドウの下側には、現在の動作状況がスクロールされながら表示される。下のリンク先にあるスクリーンショットの例では、IP アドレス、ドメイン、そして URL を変更してあるが、どのような感じかは分かってもらえると思う。これには、2 つの異なる Yahoo Mail アカウントへのログイン、検索エンジンへのアクセスが一つ、そして 3 つのアダルトウェブサイトへのアクセスが認められ、すべてが 2 秒以内に実行されている。

<http://chuck.forest.net/images/tidbits/proxylogwindow.gif>

もし、あなたの組織で必要なためプロキシサーバを無効にしたくないのなら、スパム発信者や他人に使われないよう保護することができる。WebSTAR Adminアプリケーションは、ニーズに合わせてプロキシの送信側・受信側の双方を制限するためのグラフィカルなインターフェースを提供している。詳細は、WebSTAR のマニュアルを参照して欲しい。

また、注意して欲しいのは、もしあなたのネットワークがスパムの送信元である場合、接続の拒否、遮断、あるいはブラックリストに載せられる危険があるということだ。インターネットのシステム管理者たちは、オープンリレーと同様にプロキシに対しても厳しく対処するようになってきたので、ブラックリストに載ることにより正規のトラフィックが損なわれるリスクは増えることはあっても減ることはない。

スパム発信者があなたのネットワークを不正利用し始めた時、もしあなたがこの問題をただの懸念だと考えるなら、即座に必要な対策を講じないことに対するペナルティーも考慮する必要がある。世界中でオープンプロキシを定期的にスキャンおよびチェックする多くの個人により善意で編集されているブラックホールリストに、あなたのネットワークアドレスが、たとえ悪用される前であっても追加されるかもしれない。これらのブラックホールリストは、次にインターネットのサービスプロバイダ、学術機関、そして企業において電子メールを遮断するのに使われ、これは好ましくない影響を及ぼす場合がある。TidBITS のライター兼編集者である Glenn Fleishman のメールサーバは、この記事で書いた問題によりブラックリストに載ったことがあるが、彼はすべてのブラックホールリストからこのメールサーバを削除してもらうのに何週間もかかった。ある大規模 ISP に対しては、公開されている手続きにも拘わらずブラックリストに載っていることに関し、理事長に対して訴えなければならなかったことさえある。つまり、オープンプロキシはあなたや帯域に対する料金だけの問題ではない。あなたのネットワークを利用するすべての人に対し、メールを送信する機能を完全に制限してしまう可能性があるのだ。

Mac OS X はどうなのか? -- 4D 社により開発・販売されている Mac OS X互換の現行バージョンである WebSTAR V にはプロキシサーバが含まれていないので、オープンプロキシの不正利用に対する脆弱性は無い。それにも拘わらず、4D では当然のこととして、旧バージョンの WebSTAR における脆弱性をユーザに対してすでに警告を発している。

<http://www.4d.com/products/webstar.html>

Apple の Mac OS X Server にも、標準でプロキシサーバが含まれたことは無い。私がプロダクト・マネージャーと話したとき、彼はそれを追加するのを考慮したことがあると言っていた。この会話の後、Apple は出荷に際し、そのようにする前には熟慮するかあるいはそれを保護するために慎重な手順を踏んでくれるのではないかと思っている。

この状況をどのように解決すればよいか? -- 残されていることは大変な作業ばかりで、しかもこの記事は始まりにしか過ぎない。私はこの 2 週間、起きている時はずっと、私たちのネットワーク内でこの問題を調査し、大規模 ISPの不正利用対応部門へこの問題を報告し、そして気が付かずにオープンプロキシを動作させている多数のウェブ管理者に連絡するために時間を費やしてきた。私の作業は既に効果を上げ始めている。AOL に渡したデータのいくつかは、すでに知られている犯罪的スパム発信者の調査を終わらせるのに役立ったし、不正利用されたオープンプロキシの記録から得た情報に基づき Yahoo では何千もの電子メールアカウントを閉鎖している。

しかし、この作業は私一人ではできない。私たち全員が、TidBITS が届く範囲をも越えて、他の Macintosh ニュースサイトやオープンプロキシを動作させているかもしれない人たちに対しこの話を伝えなければいけない。すべてのプラットフォーム上でオープンプロキシが最終的に至る所で活動停止することができ、しかも Macintosh コミュニティーがこの運動をリードできるというのが私の希望だ。幸いにも、この作業を Mac で行なうのは、他のプラットフォームの場合と比較すると当然ながら格段に容易である。

もしあなたがウェブ管理者やシステム管理者であれば、あなたの管理するサーバをチェックし必要ならそれを保護して欲しい。あなたがネットワーク管理者の場合、この問題が徹底的にそして分かりやすく書かれている分析結果の Joe St. Sauver 氏による“Open Proxy Problem”PDF (前のリンク参照) を是非読むべきだ。そして、あなたのネットワーク内にあるオープンプロキシを探し出すため、推奨されているツールを使いこなして欲しい。もし記録を付けているもの (WebSTAR のプロキシサーバは標準でそのようになっている) を見つけたら、オープンプロキシが存在するネットワークのオペレーターや不正利用担当者がそれらを閉鎖するための手助けが大いにできるし、何よりもスパム発信者や他のネットワーク不正利用者を追跡して活動を停止させることも可能かもしれない。

古い Mac がスパム発信者により不正利用されているという悪い知らせを報告することは残念だが、今私たちは問題を把握しているし、それを解決しようと行動することは、洪水のようなスパムを食い止めるという満足感も与えてくれるだろう。

PayBITS: Chuck がこの問題を発見したのは勲章に値します。どうか PayBITS 経由で数ドルを送って彼の努力に報いて下さい。
<http://www.paypal.com/xclick/business=goolsbee%40forest.net>
PayBITS の説明 <http://www.tidbits.com/tb-issues/lang/jp/paybits-jp.html>


TidBITS Talk/03-Nov-03 のホットな話題

文: TidBITS Staff <[email protected]>
訳: Mark Nagata <nagata@kurims.kyoto-u.ac.jp>

Panther 対 FireWire 外部ディスク -- 外付け FireWire ドライブを捕食する Panther の習性の犠牲になった人は、いらっしゃいませんか? 確かに Apple が FireWire 800 ドライブとの間に存在する問題を特定してはいるのだが、他のユーザーの中には FireWire 400 ドライブでも同じ目にあった人がいる。(メッセージ数 11)

<http://db.tidbits.com/getbits.acgi?tlkthrd=2100>

Take Control と E.U. の VAT 問題 -- ヨーロッパにおいて Take Control 電子本に伴う適正な VAT(付加価値税)の金額を計算するのは、思ったよりもずっと複雑なことだった。(メッセージ数 4)

<http://db.tidbits.com/getbits.acgi?tlkthrd=2099>

Panther のインストール -- Mac OS X 10.3 Panther をインストールし始める読者たちが増えるにつれて、いろいろな経験談が寄せられる。(メッセージ数 4)

<http://db.tidbits.com/getbits.acgi?tlkthrd=2098>

Take Control 電子本の翻訳 -- Take Control 電子本の翻訳版を出すとしたら、どんな作業が待っているのだろうか? お金の支払方法や、配布方法など、どんな作業モデルがあり得るのかを議論する。(メッセージ数 4)

<http://db.tidbits.com/getbits.acgi?tlkthrd=2096>

Take Control 電子本の価格 -- Take Control の電子本がすべて1冊あたり $5 という均一価格は、はたして適正なのか? それとも、それぞれの本ごとに長さや内容の複雑度に応じて価格を変えるべきなのか? (メッセージ数 4)

<http://db.tidbits.com/getbits.acgi?tlkthrd=2095>


tb_badge_trans-jp2

非営利、非商用の出版物およびウェブサイトは、フルクレジットを明記すれば記事を転載またはウェブページにリンクすることが できます。それ以外の場合はお問い合わせ下さい。記事が正確であることの保証はありませ ん。書名、製品名および会社名は、それぞれ該当する権利者の登録商標または権利です。TidBITS ISSN 1090-7017

Valid XHTML 1.0! , Let iCab smile , Another HTML-lint gateway 日本語版最終更新:2005年 12月 26日 月曜日, S. HOSOKAWA