逃げのセキュリティ対策:LAMPセキュリティを強化する4つの方法
2008年4月29日
私は幼少のころから小柄で、小中学生のころはスポーツが非常に苦手であった。もっとも、いわゆる運動神経の発達が他の人よりも2-3年遅れていたらしく、そのことがスポーツが苦手だった主因かもしれない。高校生になると、小柄なままではあったが、スポーツは苦手ではなくなっていた。
小学生のころ、ドッジボールをよく楽しんだ。運動が苦手な私はチームの戦力にはならない。それでも、ちゃんと参加しようとしてボールを受け取ったり投げたりすると、すぐに相手にやられて、フィールドの外に出されてしまう。ところが、不思議なことに、フィールドの隅で観戦者のように腕組みをしてじっと立っていると、相手にやられることは無かった。強い仲間たちが奮闘してくれれば、そのままフィールドの中に残って勝利を得たりしたものである。
しかし、その強い仲間たちが全員やられてフィールドの外に出てしまうと、当然こちらに攻撃がくる。あっという間にやられて、敗北である。
さて、少し前になるが大垣氏のブログに次のような記事が上がった。
・誤解を招く記事 - LAMPセキュリティを強化する4つの方法
・上記記事の参照先:LAMPセキュリティを強化する4つの方法
・原文はこちら:Four Ways to Keep LAMP Secure
『LAMPセキュリティを強化する4つの方法』では、PHPを腐った果実だとし、だから他の言語(Perl, Python, Ruby)を選ぶのが正しいと主張している。一方で、その主張が間違っていると主張しているのが大垣氏の記事である。
(ちなみに、原文を読んでみると、その日本語訳がかなり良く書けていることがわかる。もっとも、その英文の翻訳を決定した編集局の判断が妥当であったかどうかは、別の評価である。)
少しだけ、大垣氏の記事から引用してみよう。
言語を替えても、インフラを替えても、見つかった脆弱性は放置すれば同じです。「WindowsよりOSXの方が安全」と考えるのはナンセンスです。基本的な要素が同じなら、いかに管理し、対処しているかによりどちらの方が安全か評価できます。同じように「PHPよりPerl/Ruby/Pythonの方が安全」ではありません。これらは偏見に満ちた間違った考え方です。この様な考え方でWebシステムを構築・管理していては、いつまで経ってもWebシステムは安全になりません。
大垣氏は、別の記事で「WindowsよりOSXの方が安全」と考えるのがナンセンスであることを示している。もしセキュリティー対策として、WindowsではなくOSXを選んだり、PHPではなくPerl/Ruby/Pythonを選び、それが単にWindowsやPHPが危険であると思うことが理由なのであれば、これはつまり『逃げ』のセキュリティー対策だ。
ブラウザのセキュリティーホールを突いてマルウエアをインストールしたり、サーバのセキュリティーホールを突いてハイジャックするなどの手口を見ていると、WindowsやPHPをターゲットにしているものが非常に多い。これは、WindowsとPHPが他のOSや言語に比べて脆弱であるからではない。その理由はもっと別のところ、つまりシェアが多いというところにある。攻撃を仕掛ける側に立てば、シェアが多ければ多いほど費用対効果が上がるわけだ。
私自身、このような逃げのセキュリティー対策をまったく使っていないわけではない。例えば、長期出張で家を長期間留守にしたとき、妻のためにMacBookを買った。普段は私がセキュリティー対策やさまざまな設定を施してあるが、留守の間はそれができない。そういう状況で、ウイルスやワームに感染される危険性を考えた場合、WindowsよりもOSXの方がより危険性が低いと考えたからである。他には、私が公開している三国志関連のサイトはNucleusを用いて構築しているが、スパムコメント対策をまったくと言ってよいほど行っていない。このサイトは一見静的ページのようであるため、スパムロボットにとってはコメントが書き込める動的ページだと解釈しづらいためであろう。Nucleusユーザが見れば、一目瞭然でNucleusを使っている(動的ページらしい)と分かるのだが…。これらの『逃げの』対策は、一時しのぎのもので恒久的なものではない。OSXだって、セキュリティーアップデートをしないと危険だし、三国志のサイトにもいずれはスパムが来るだろうと思っている。
今回大垣氏が問題にしている記事の英語原文のサイト(Four Ways to Keep LAMP Secure)を訪問してみたとき、面白いことに気がついた。この記事には『PHP = Trouble』と記述されているにもかかわらず、記事そのものがPHPを用いて提供されているように見えるのだ。『これは危ないよ』と指摘しているその本人が、危ないはずのものを使っているのである。これはもう、滑稽としか言いようが無い。
PHPは危ないと多くの人々が吹聴するその背景には、政治的なものが絡んでいると私は思っている。少なくとも、アメリカでは。それにつられて、日本のお役人が『例えば、PHPを避ける』などと言っているのは、まったく滑稽な話である。この件についても、ここやここ、それにここでも指摘されている。
もし、多くの人たちがこのような『逃げ』のセキュリティー対策としてOSXやLinux、Perl/Ruby/Pythonを使い出したら、クラッカーたちの攻撃対象がこれらのOSや言語に変わるだけのことである。もしそうなった場合、逃げのセキュリティー対策が正しいと主張している人たちは、また別のOSや言語を使うことを勧めるのかもしれない…。
小学生のころ、ドッジボールをよく楽しんだ。運動が苦手な私はチームの戦力にはならない。それでも、ちゃんと参加しようとしてボールを受け取ったり投げたりすると、すぐに相手にやられて、フィールドの外に出されてしまう。ところが、不思議なことに、フィールドの隅で観戦者のように腕組みをしてじっと立っていると、相手にやられることは無かった。強い仲間たちが奮闘してくれれば、そのままフィールドの中に残って勝利を得たりしたものである。
しかし、その強い仲間たちが全員やられてフィールドの外に出てしまうと、当然こちらに攻撃がくる。あっという間にやられて、敗北である。
さて、少し前になるが大垣氏のブログに次のような記事が上がった。
・誤解を招く記事 - LAMPセキュリティを強化する4つの方法
・上記記事の参照先:LAMPセキュリティを強化する4つの方法
・原文はこちら:Four Ways to Keep LAMP Secure
『LAMPセキュリティを強化する4つの方法』では、PHPを腐った果実だとし、だから他の言語(Perl, Python, Ruby)を選ぶのが正しいと主張している。一方で、その主張が間違っていると主張しているのが大垣氏の記事である。
(ちなみに、原文を読んでみると、その日本語訳がかなり良く書けていることがわかる。もっとも、その英文の翻訳を決定した編集局の判断が妥当であったかどうかは、別の評価である。)
少しだけ、大垣氏の記事から引用してみよう。
言語を替えても、インフラを替えても、見つかった脆弱性は放置すれば同じです。「WindowsよりOSXの方が安全」と考えるのはナンセンスです。基本的な要素が同じなら、いかに管理し、対処しているかによりどちらの方が安全か評価できます。同じように「PHPよりPerl/Ruby/Pythonの方が安全」ではありません。これらは偏見に満ちた間違った考え方です。この様な考え方でWebシステムを構築・管理していては、いつまで経ってもWebシステムは安全になりません。
大垣氏は、別の記事で「WindowsよりOSXの方が安全」と考えるのがナンセンスであることを示している。もしセキュリティー対策として、WindowsではなくOSXを選んだり、PHPではなくPerl/Ruby/Pythonを選び、それが単にWindowsやPHPが危険であると思うことが理由なのであれば、これはつまり『逃げ』のセキュリティー対策だ。
ブラウザのセキュリティーホールを突いてマルウエアをインストールしたり、サーバのセキュリティーホールを突いてハイジャックするなどの手口を見ていると、WindowsやPHPをターゲットにしているものが非常に多い。これは、WindowsとPHPが他のOSや言語に比べて脆弱であるからではない。その理由はもっと別のところ、つまりシェアが多いというところにある。攻撃を仕掛ける側に立てば、シェアが多ければ多いほど費用対効果が上がるわけだ。
私自身、このような逃げのセキュリティー対策をまったく使っていないわけではない。例えば、長期出張で家を長期間留守にしたとき、妻のためにMacBookを買った。普段は私がセキュリティー対策やさまざまな設定を施してあるが、留守の間はそれができない。そういう状況で、ウイルスやワームに感染される危険性を考えた場合、WindowsよりもOSXの方がより危険性が低いと考えたからである。他には、私が公開している三国志関連のサイトはNucleusを用いて構築しているが、スパムコメント対策をまったくと言ってよいほど行っていない。このサイトは一見静的ページのようであるため、スパムロボットにとってはコメントが書き込める動的ページだと解釈しづらいためであろう。Nucleusユーザが見れば、一目瞭然でNucleusを使っている(動的ページらしい)と分かるのだが…。これらの『逃げの』対策は、一時しのぎのもので恒久的なものではない。OSXだって、セキュリティーアップデートをしないと危険だし、三国志のサイトにもいずれはスパムが来るだろうと思っている。
今回大垣氏が問題にしている記事の英語原文のサイト(Four Ways to Keep LAMP Secure)を訪問してみたとき、面白いことに気がついた。この記事には『PHP = Trouble』と記述されているにもかかわらず、記事そのものがPHPを用いて提供されているように見えるのだ。『これは危ないよ』と指摘しているその本人が、危ないはずのものを使っているのである。これはもう、滑稽としか言いようが無い。
PHPは危ないと多くの人々が吹聴するその背景には、政治的なものが絡んでいると私は思っている。少なくとも、アメリカでは。それにつられて、日本のお役人が『例えば、PHPを避ける』などと言っているのは、まったく滑稽な話である。この件についても、ここやここ、それにここでも指摘されている。
もし、多くの人たちがこのような『逃げ』のセキュリティー対策としてOSXやLinux、Perl/Ruby/Pythonを使い出したら、クラッカーたちの攻撃対象がこれらのOSや言語に変わるだけのことである。もしそうなった場合、逃げのセキュリティー対策が正しいと主張している人たちは、また別のOSや言語を使うことを勧めるのかもしれない…。