サイボウズの件
数日前の話。
Linuxなどのグループウエア、サイボウズのサイトがクラックされた可能性があるとかで、閉鎖をしていた。その後、社外の調査(LACかISSか?)によりクラックされた形跡は見つからなかったと公表があった。
そもそもその可能性は、chkrootkitというフリーのツールでrootkit検出がされたためにサイト閉鎖をしたという。それが「誤検知」したことによって判断ミスをした、今後は社外の有料ツールをもって検査を行うとあった。
ぼくも自分のささやかなサーバでchkrootkitを使用している。またフリー(ここでは定義は述べない)のツールを多く利用させて頂いている。Debianからsnortやnessusまでいつもお世話になっている。
前の職場ではサイボウズが利用されていた。当時他のグループウエア、ロータスのノーツはプラットフォーム依存、要するにWindowsしか使用できなかったりしてこのサイボウズはWebベースでMacintoshでもなんでも凡そWebブラウザーが利用できればその恩恵に与れるとしていい印象があった。
しかし、この件の報道を見る限りフリーのツールであるか、有料であるかでその結果の信憑性を測るような書き方になっているのは気に入らない。それで「誤検知」がなくなるとは全く思えないからだ。
問題なのは一つの結果だけを鵜呑みにしてしまう監視体制であるはずなのに、と考えるのだ。
有料であること、が信頼につながる尺度であるならマイクロソフトをはじめ脆弱性情報がこれほどもてはやされることは無いはず、というのは容易に思い至るはずなのに、だ。
すくなくとも自分の知るセキュリティ専門家はツール一つ、検査結果一つから判断をするひとはいない。
rootkit検出ツールはchkrootkit以外にもTCT、Rootkit Hunterなど色々在る。