質問
お疲れ様です。
E/Uにhostsの書き換えを許可しているというのは、結構特殊ですね。弊社もそうですが、ソフトウェア開発業(とくにWeb系)だったりすると割とこの要件はあったりしますね。
一般的にHostsを書き換えられる危険性というのは、ワームがHostsを書き換え、フィッシングサイトにアクセスするための手法として用いられるケースがあります。最近の場合は、DNSのキャッシュ汚染など違う手法が出ていますので、Hostsを守れば大丈夫というわけではありませんが...。
ウイルス対策ソフトによってはHostsファイルを監視しているものもあります。(変更が入ると確認画面が出てきます)
ちなみにダイナミックDNS等の手法で、DNSサーバーとの運用で回避するというのは難しいようでしょうか?(ドメイン名がそもそも異なるようなWEBサイト作りだと難しいでしょうね)
もし、Hostsファイルを書き換える目的がWebアクセス用途でなければ、外部へインターネット接続はProxyサーバー経由にしてDNSやHostsファイルの有効範囲を制限するのも手法の一つかもしれません。
お疲れ様です。
HOSTS書き換えの危険性はコメント(1)で書かれてますので。
どうしてHOSTSファイルを書き換える必要があるのか?
と言う点の確認はどうなっているでしょうか。
スレ主様のお立場が分かりませんが、ここで質問をすると言う事は、
「会社のIT関連の管理に関係する部署」と言う事だと思いますが?。
>近HOSTファイルの書き込み権限の付与を求める部署が多く、限定的に解除していますが、
と言う事は、いろいろな部署が「IT管理部署の手を離れて、HOSTSを書き換えなければならない」状態になっている。
のでしょうか?
まずはそこのところを明確にした方が良いのではないか。
と思って書き込んでしました。
(質問に対する回答ではなく、申し訳ありませんでしたm(’)m)
ウイルス定義ファイルの更新を妨害されたりする可能性があります。
あとは中継サーバへアクセスされることによる盗聴でしょうか。(メールも含まれます)
ほかの投稿者様のご指摘にあるとおり、フィッシングサイトへのアクセスがもっとも分かりやすい脅威といえると思いますが、WEBサイト構築などではHOSTS書き換えが必須となる事情もあると思いますので、何らかの仕組みを用意することは仕方がないかもしれません。
(バーチャルホストにおいてアクセスしにきたURLで切り替えを行っている場合やリファラの制御などの仕組み上の必要性が考えられます)
回避方法としてはHOSTSのパーミッションを変更せずに、書き換え用のプログラムを用意してそのプログラムに管理者権限での動作を付与してあげるようにするとセキュアかと思います。メモ帳のような標準でない、専用のエディタをHOSTS書き換え用として設定してはいかがでしょうか。
プロキシサーバがこの手の脅威に有効なのは、WEBアクセスにフィルタを掛けてくれる機能を実装している場合のみです。
もちろん効果はWEBアクセスに限定されてしまいます。
名前解決という動作はネットワークを使用する上で根幹とも言えるとても重要な動作ですから、セキュリティを考慮して慎重に検討するべき内容といえます。
質問
お世話になります。
自社では、基本的にエンドユーザにはセキュリティの観点から、
User権限のみ与えております。
そのため、HOSTSファイルの書き込み権限がありません。
最近HOSTファイルの書き込み権限の付与を求める部署が多く、限定的に解除していますが、
キッティング時に権限を与えてしまおうかという話になりました。
そこで疑問に思ったのですが、HOSTファイルの書き込み権限を与えることによる
リスクとは一体なんなのでしょう?
例えばウイルス感染して、HOSTSファイルを書き換えられた場合、どのような被害が想定できますでしょうか?
よろしくお願います。