編集者注:以下の記事は、TidBits Publishingからダウンロード可能な、最近リリースされた10ドルの電子書籍『Take Control of Sharing Files in Leopard』からの抜粋です。この89ページの電子書籍では、数台のMac間、プラットフォームが混在するオフィスワークグループ内、そしてインターネット上の遠隔地にあるコンピュータ間でのファイル共有に関わるあらゆることを詳細に解説しています。
Leopardでファイル共有を管理する では 、ネットワーク接続されたコンピュータで作業するユーザーを中心に、ユーザー間でファイルを交換するための適切なコンピュータ設定を見つけるお手伝いをします。しかし、ファイル共有の詳細に入る前に、ファイル共有のリスクを考慮し、必要に応じてリスクを回避するための対策を講じる必要があります。
いえ、私が言っているのは、アメリカレコード協会 * の突撃隊があなたの寝室に押し入ってくるということではありません。それが問題になるのは、ピアツーピアのファイル共有ネットワークを使用して、そのような共有ライセンスのない作品を共有する場合だけです。
むしろ、意図しない第三者がファイルにアクセスしたり、ストレージ容量を悪用したりするリスクがあります。これは、ファイルをローカルネットワーク上でのみ共有している場合でも発生する可能性があります。ファイアウォールなどの保護対策を講じていないと、意図せずファイルを外部の人に公開してしまう可能性があります。また、安全でないネットワークで作業する際にパスワードを慎重に保護していない場合にも、同様の事態が発生する可能性があります。ファイルサーバーが自分のアカウントを使って乗っ取られる可能性があります。
オープンサーバーの問題
Windowsユーザーは、誤ってオープンファイルサーバーを起動してしまうという問題を以前から認識していました。Windows XP以前のMicrosoftのデフォルト設定では、保護なしにファイル共有を簡単に有効化できてしまうからです。初期のケーブルモデムネットワーク(基本的には大規模なイーサネットネットワークのように機能する)では、隣人の保護されていないファイルを自由に閲覧することができました。おっと、これは大変な事態です。
インターネットはあまりにも巨大で高速、そして無数の悪党で溢れかえっており、まるで巨大なローカルネットワークのようになってしまったかのようです。意図的であろうと無意識であろうと、意図した以上の情報を公開してしまうと、自動化された悪意あるプログラム、例えばオープンなファイルサーバー接続を探すスキャンプログラムにデータが吸い上げられてしまう可能性があります。しかし、Googleなどの検索エンジンは公開されているWebページからのリンクをすべてたどるため、Word、PDF、その他のファイルの多くが、Webサイトの目立たないリンク先から意図せずGoogleの手に落ちてしまうのです。
さらに悪いことに、コンピュータがクラッカーにハイジャック(乗っ取り)された場合、海賊版ソフトウェアの俗称であるウェアーズ(Warez)の保管庫と化してしまう可能性があります。数年前、私はFTPサイトを運営していましたが、そこにいくつかのファイルを置いていました。しかし、設定ミスで誰でも読み取りと書き込みの両方のアクセスを許可してしまいました。帯域幅の急激な増加により、他人がアップロードした数百MBもの海賊版コンテンツを発見しました。過失で法的措置を取られることはまずないでしょうが(最近は必ずしもそうとは限りませんが)、問題の解決に時間と費用がかかる可能性があり、ISPが利用規約違反を理由にインターネット接続を遮断する可能性もあります。
意図せず海賊版ソフトウェアをホストするのは悪いことだと考えているなら、実際にはもっと悪いことが起きる可能性があります。サーバーが児童ポルノの保管庫になる可能性もあります。米国を含む一部の国では、推定有罪判決が下されています。所持しているだけでも、投獄、罰金、その他の制裁を受ける可能性があり、名誉回復には長いプロセスが必要になります。ここ数年の多くの報告で、スパムやポルノの大部分が乗っ取られたコンピュータから配信されていることが明らかになっています。
もう一つ、厄介なシナリオがあります。サーバー上のドロップボックスに誰でもファイルを書き込める場合(たとえアップロードされたファイルを読み込めなくても)、悪意のある人物が数百メガバイトもの不要なファイルをアップロードし、利用可能な帯域幅を飽和させ、サーバーのハードディスクをいっぱいにし、不要なファイルを削除しない限りマシンにアクセスできなくなる可能性があります。このような破壊行為は考えにくいように思えるかもしれませんが、世界中にハイジャックされたコンピューターが溢れていることを考えると、非常に容易であり、実際に起こっています。
警告:たとえ合法的な目的でP2Pソフトウェアを実行して合法的なファイルを配布する場合でも、問題が発生する可能性があります。例えば数年前、Take Controlの発行者であるAdam Engst氏は、サウス・バイ・サウスウエスト(SXSW)音楽フェスティバルで演奏するミュージシャンの合法的に配布されたオーディオファイルを、同フェスティバルの推奨配布方法であるBitTorrent経由でダウンロードしました。しかし残念ながら、彼はBitTorrentを実行したままにしてシードノードとなり、長距離無線リンクに過負荷をかけ、ISPによって一時的にアクセスを遮断されてしまいました。
リスクを回避するための推奨事項
ファイル共有を有効にする前に、誰がどのようなアクセスを必要としているか、またどのようなアクセスが必要なのかを慎重に検討することをお勧めします。具体的な推奨事項を以下に示します。
アクセスを必要とするユーザーに対して特定のアカウントを設定する: ほとんどの場合、ユーザーごとに個別のアカウントを設定するか、ファイルへのアクセスを必要とするユーザー グループで共有する単一のアカウントを設定する必要があります。
Leopard を実行している Mac からファイルを共有する場合は、アクセスが制限された共有のみのアカウントを設定できます。共有のみのアカウントは、ユーザーのアクセスを必要なファイルのみに制限するのに最適です。
また、次のような手法を使用して、ユーザーによるファイル サーバーへのファイルの書き込み機能を制限する必要もあります。
ヒント :ファイルサーバーを初めて設定する場合、サーバーに保存されているファイルに対する他のユーザー(またはユーザーとしてログインしている場合は自分自身)のアクセス権限を制御できることをご存知ないかもしれません。例えば、ファイルの読み取りとフォルダの参照のみを許可したり、ファイルのアップロードのみを許可してアップロードしたことは表示しないようにしたり、ボリュームの読み取り、書き込み、削除、その他すべての操作を許可したりできます。
ゲストや匿名ユーザーがファイルをアップロードできる場所を制限する:サーバーへのアクセスにアカウントを必要としないユーザーがファイルを書き込めると、すぐに問題が発生する可能性があります。一般的に、ゲストによるファイルの書き込みは許可しないでください。特別な理由がある場合は、書き込み専用フォルダまたはドロップボックスフォルダを設定し、ゲストがファイルのコピーやアップロードは許可するが、内容の読み取りやファイルのコピーは許可しないようにします。
iDisk HomePage ユーザーが HomePage 領域にパスワードを設定していることを確認してください。iDisk には、Apple の詳細な説明を読まないと危険なファイル共有方法がいくつかあります。例えば、iDisk 上の Public フォルダにパスワードを設定し、他のユーザーが WebDAV 経由でアクセスできるようにすることができます。ただし、HomePage 経由で Web ベースの共有を有効にする場合は、HomePage 領域に別のパスワードを設定する必要があります。(既存のサイトの場合は、ページ上部の「このサイトを保護」をクリックするか、サイトを選択してリストの右下にある「編集」をクリックしてください。) パスワードを設定しないと、URL を知っていれば誰でも Web 経由でこれらのファイルにアクセスできてしまいます。
設定をテストする:私は通常、ファイル共有設定をテストする際に、ログイン権限のない別のコンピューターを使って、ユーザー名なしで何ができるかを確認します。読み書きできないはずのファイルを読み書きできてしまうことはありますか?パスワードを求められるべきなのに匿名アクセスになっていませんか?最適な設定になるまで微調整を繰り返します。ネットワーク外から友人にテストしてもらうのも良いでしょう。
ファイアウォールを追加する:ネットワークから共有しているファイルに誰がアクセスするか少しでも心配な場合は、ファイアウォールを有効にすることができます。ただし、Leopardに付属のファイアウォールは、アプリケーションとそのデータ受信能力に重点を置いた、非常に制限的なアクセス制限となっています。代わりに、マシン上の特定のサーバーにアクセスできるIPアドレスを制御できる、フル機能のファイアウォールをインストールすることをお勧めします。
一部の Wi-Fi およびブロードバンド ルーターには、ネットワーク接続ストレージを含むネットワーク全体を保護できるフル機能のファイアウォール ソフトウェアが含まれていますが、Apple の AirPort Extreme には含まれていません。
個々の Mac については、高度な保護タスクを実行する Mac OS X 用の 2 つのファイアウォール パッケージが本稿執筆時点で更新されており、今後さらに追加される可能性があります。
ヒント :観察力に頼りすぎるということもあります。ある出版社で編集者をしている友人は、自分のPantherシステムがウイルスや攻撃の被害に遭ったと確信していました。しかし、私の知る限りではそうではありませんでした。彼女は、Windowsを標的としたワームがネットワーク上のコンピュータを偵察していることを発見しました。これは典型的な自動クラッキングの手口で、彼女はファイアウォールの設定でログ記録と拒否を過剰に設定してしまい、システムがほぼ使用不能なレベルにまで落ちてしまいました。
現時点では、私も同僚も、ファイル共有中のLeopardシステムに接続してアクセス権を取得し、コンピュータを制御したり、プログラムをインストールして実行したりする方法を知りません。しかし、それが絶対に起こらないというわけではありません。
ファイル共有用にファイアウォールを設定する
ファイアウォールは、ネットワークの一部と別の部分の間に仮想的な障壁を作り、設定に応じてあらゆる種類のデータの出入りを遮断します。ファイアウォールはネットワーク全体を保護することもできますが、一般的には、ローカルネットワークまたはインターネット上の他のコンピューターが、明示的に許可していないサービスにアクセスできないようにするために、1台のコンピューターにファイアウォールをインストールします。
Leopardの内蔵ファイアウォールサービスを有効にするには、システム環境設定の「セキュリティ」パネルから「ファイアウォール」ビューを開きます。以下の3つのオプションから選択できます。
共有サービスが有効になっている場合は、「着信接続の制限」の下のリスト上部に表示されます。特定のアプリケーション(iPhotoやiTunesなどのAppleプログラムを含む)の着信アクセスを制御するように選択している場合、これらのアプリケーションもこのリストに表示されます。これらのアプリケーションは、これらのプログラム内で共有を有効にすると、ユーザーの許可を得てリストに追加されます。サービスとアプリケーションの両方がリストに表示される場合は、サービスが上部、アプリケーションが下部に線で区切られます。
サービスをオンまたはオフにするたびに、このリストに追加または削除され、ファイアウォールの例外が作成または削除されます。外部からのアクセスを必要とするプログラムを起動すると、Mac OS Xはそのようなアクセスを許可するかどうかを確認するメッセージを表示します。同意すると、アプリケーションは自動的に追加されます。
プラス(+)ボタンをクリックして、アプリケーションをリストに追加することもできます。ファイアウォール設定からアプリケーションを削除するには、リストからアプリケーションを選択し、マイナス(-)ボタンをクリックします。
 |
| ファイアウォール ビューでは、外部からコンピューターのサービスやアプリケーションにアクセスする方法を制御できます。 |
各アプリケーションは着信接続をブロックするか、着信接続を許可するように設定できますが、この設定は全体的なアプローチとして着信接続を制限することを選択した場合にのみ適用されます (右側に表示)。
Leopardのファイアウォールには、Tigerが提供していたポートベースのアクセス制御というきめ細かな機能が欠けています(下記注を参照)。ポートベースのアクセス制御はファイアウォールの典型的な機能であり、Appleがここで方針を変えたのは奇妙です。
Appleのファイアウォールは、どのIPアドレスや範囲へのアクセスを許可または禁止するかを制御する機能を提供していません。ほとんどのファイアウォールは、不正使用を監視して特定のアドレスやネットワークをロックアウトしたり、一部のアドレスからのアクセスのみを許可することで、許可されたユーザーのみがアクセスできるようにしたりすることができます。
このレベルの制御が必要な場合、またはMac OS Xに付属していないサービスへのアクセスを制御する必要がある場合は、数ページ前にリストされているようなサードパーティ製のファイアウォール、またはファイアウォール機能が組み込まれたルーターが必要です。これらのファイアウォールは、コンピュータへの接続を(賢明に)制限したい場合に、ファイル共有トラフィックの通過を許可するなど、より詳細なルールを設定できます。各サービスで有効にする必要があるポートについては、下の表を参照してください。
さまざまなファイル共有サービスで有効にするポート
| サービス | ポート | 注記 |
|---|---|---|
| FTP | 着信ポート 20 と 21、UDP と TCP の両方、および他のマシンのポート 20 と 21 からクエリされた場合のみ着信ポート 1024 から 65535 | FTP クライアントはポート 20 と 21 から要求を送信しますが、クライアントでパッシブ FTP が有効になっている場合 (一部のファイアウォールではオプションが必要)、クライアントは高い番号のポートから接続します。 |
| ウェブ | 80,443 | 80は通常のWeb、443はセキュアバージョンです |
| サンバ | 136-139, 445 | Apple は Samba 用にポート 139 のみを開きますが、さまざまな Windows ネットワーク サービスには他のポートが必要になる場合があります。 |
| トンブクトゥ | 407 | |
| AFP | 548, 427 | |
| iフォト | 8770 | |
| iTunes | 3689 |
注意: Leopard の Back to My Mac 機能を有効にするには、ポート 443 と 4500 が必要です。
ポートに関する注意: IP アドレスに対するポートの関係は、アパートの建物に対する部屋番号の関係に似ています。ポートは、ファイル共有や Web サーバーなどのサービスを提供するために使用され、インターネット対応ソフトウェアは、通常どのポートにサービスがあるかを認識しています。ポートは、TCP と UDP という 2 種類の IP データのいずれかを処理できます。TCP という名前は、各アダプタのネットワーク環境設定パネルで接続を設定する領域である TCP/IP からおなじみかもしれません。ただし、TCP はデータをラップする 1 つの形式であり、UDP はもう 1 つの形式です。TCP は通常、データの一部が重要である通信に使用されます。UDP は、一部のデータが失われても受信全体に影響しないストリーミング メディアによく使用されます。
Leopardのファイアウォールには、セキュリティを強化するための特別な機能「ステルスモード」を設定できます。この機能にアクセスするには、ファイアウォールビューから「詳細設定」ボタンをクリックします。
 |
| ファイアウォール ビューのステルス モード オプションを使用すると、Leopard を密閉されたドラムのようにしっかりとロックダウンできます。 |
ステルスモードを有効にする(スクリーンショット参照)にチェックを入れると、Macが外部から実質的に見えなくなります。外部からポートの背後にサービスがあるかどうかを確認しようとするクエリに対して、コンピュータは一切応答しません。これは目立たないようにするための推奨される方法です。Macから発信されるすべてのアウトバウンド接続は引き続き機能します。
パスワードを保護する
ファイルサーバーシステムを保護する最後のステップは、システム管理者自身もリモートユーザーも、アクセスに使用するパスワードをうっかり漏らさないようにすることです。パスワードが権限のない人物の手に渡ってしまうと、読み取り専用リポジトリの内容が突然その人物の手に渡ってしまいます。また、前述の通り、読み取り/書き込みサーバーは盗難されたソフトウェアによって侵入される可能性があります。
パスワードを使用するWebサービスやFTPサービスは、パスワードを保護しておらず、クライアントとサーバー間でやり取りされるデータの暗号化も行いません。そのため、カフェや空港などの公共の場所でWi-Fiホットスポット経由でファイルサービスに接続する場合は、すべてのネットワークトラフィックを暗号化する仮想プライベートネットワーク(VPN)か、暗号化されたFTPを使用する必要があります。また、パスワード保護が不十分なSambaやSSL非対応のWebDAVも使用しないでください。
ヒント :VPNサーバーにアクセスできない場合(ほとんどの人はそうでしょうが)、WiTopiaから年間40ドル、またはpublicVPNから月額6ドルまたは年間60ドルでこの暗号化サービスを「レンタル」できます。どちらの会社も、VPN接続の開始と停止を簡単に行う方法を提供しています。(WiTopiaは別のアプリケーションを使用しますが、publicVPNはMac OS Xの組み込みサポートを使用します。)
[Glenn Fleishmanは、Wi-Fi Networking Newsの編集者、TidBitsの寄稿編集者、The Seattle TimesのPractical Macコラムニスト、そしてMacworldの定期寄稿者です 。彼の最新著書は『Take Control of Sharing Files in Leopard』(TidBits Publishing、2007年)です。 ]
