存在可能性と現実
出典: フリー百科事典『ウィキペディア(Wikipedia)』 (2017/01/15 07:07 UTC 版)
nukeは元来、米軍内部で用いられていたスラングの一種で、nuclear weaponの省略形、つまり核攻撃を意味する用語である。転じて、比喩的に「核攻撃のような壊滅的ダメージを与える」という意味合いで、ゲームなどを始めとする様々な分野で用いられている。コンピュータ分野でもそのような意味合いで用いられていることは、ジャーゴンファイルに示されている。セキュリティ業界においても「対象となるサービスアプリケーション(daemon類)やサーバー自身の脆弱性を突いて、権限昇格攻撃あるいはサービス妨害攻撃を成功させる」という意味合いで用いられている。Packet Stormに保存されているエクスプロイトで挙げれば、OOBNuke(別名WinNuke)やIGCMNukeなどがnukeを含んだエクスプロイトの例となる。つまりsshnukeは、SSHサーバの脆弱性を突いて攻撃するエクスプロイトという意味合いの名前であり、これは映画内での実際の動作と合致している。 前記の脆弱性は「SSH1 CRC-32 Compensation Attack Detector Vulnerability」と呼ばれるものであり、実在する脆弱性である。脆弱性の内容は、リモートエクスプロイトで、SSHの実行権限(通常はroot権限)で任意のコードが実行できるというものであり、映画に登場するような「パスワードを指定文字列にリセットする」ことも理論上は可能である。 セキュリティ業界最大のコミュニティポータルであるSecurityFocusでは、このようなエクスプロイトは(この話題を取り上げた2003年時点で)登場していないと語っており、加えて「rootのパスワードを変えるくらいなら、直接root権限でリモートアクセス可能なシェルを起動するほうが賢明だ」とも語られている。エクスプロイトコードを始めとする、セキュリティ関連のソフトウェアの集大成であるPacket Stormにも、2010年時点でそのようなコードは掲載されていない。 なお、SecurityFocusには次の疑問も挙げられている。「SSH1 CRC-32 Compensation Attack Detector Vulnerability」が発表されたのは2001年2月。映画の舞台である西暦2199年に果たして、パッチが適用されていないSSHサーバが動いていることなどあり得るだろうか?というものだ。しかし、これに対して先の脆弱性を発見したZalewskiはこう語る。古いディストリビューションがそのまま(パッチが適用されていないまま)動きつづけていることはそれほど珍しいことではない。(脆弱性発表の2001年からこの話題が挙がった2003年までの)約2年間、パッチが適用されないまま動き続けているSSHサーバを数多く知っている。
※この「存在可能性と現実」の解説は、「sshnuke」の解説の一部です。
「存在可能性と現実」を含む「sshnuke」の記事については、「sshnuke」の概要を参照ください。
- 存在可能性と現実のページへのリンク