定期的なアップデートでネット攻撃から身を守る

Mike-Ho(2007年10月5日(金))
シェア
 オペレーティングシステムについては、パッチを適用して最新の状態を維持することの重要性を誰もが知っている。しかし、アップデートが必要なのはアプリケーションソフトウェアも同じだ。企業がWebの存在価値を高く認め、その背後でコンテンツ管理システム(CMS)のような効果的なツールを使って諸々の管理を行うようになってから、アプリケーションのアップデートはますます重要になっている。残念なことだが、CMSが普及するにつれ、Webサーバ上の機密データを狙う攻撃者がCMSを標的にするようになったからだ。

 自社に関する否定的な報道を流す最も簡単な方法の1つは、社会保障番号やクレジットカード情報の入ったノートPCを紛失することだが、この手の話は驚くほど多い。だからといって、“安全のために”情報をエンタープライズサーバ上に置くにしても、匿名の攻撃者に盗まれるという危険が伴う。こうした不祥事がメディアの目に留まれば、ノートPCを紛失した場合と同じくらいに自社の評判が低下するおそれがある。

 最近狙われているのはPHPベースのXOOPSというCMAに含まれるCjay Content 3モジュールで、インターネット上のどのコンピュータからでもホストマシンの任意のOSコマンドが実行される可能性がある。このホールを利用した最も一般的なエクスプロイトは、Webサーバを実行中のユーザ名や利用可能なファイル領域のサイズといった情報の収集しか行わないようだ。だが、仮にroot権限で実行中のWebサーバが見つかれば、より深刻な攻撃が待っていることは容易に想像できるだろう。

 こうした攻撃で狙われるホールの詳しい情報は、米国政府のNational Vulnerability Database(NVD)で参照できる。

 たとえWebサーバでXOOPSやCjayを実行していなくても、油断はできない。前述の国有データベースには何千件という脆弱性が登録されており、Cjay攻撃は数ある分散型攻撃の最新のものにすぎない。それ以前の攻撃対象としては、PHPベースのCMSであるpMachine、同じくPHPベースのフォーラムソフトウェアphpBB、そしてPHP自体に含まれる特定のライブラリ群などが挙がっている。

 利用している特定のCMSに存在し得る脆弱性を調べるには、単純にキーワード検索を行うだけで問題点が明らかになる。よく知られているオープンソースのCMSについて、セキュリティ重要度の高い脆弱性の件数を調べてみるとJoomlaの73件に対し、Drupal、Wordpressはそれぞれ20件、24件となっている。ではCMSを実行しなければ大丈夫かというとそうでもない。Apacheでさえ100件を超える潜在的な問題点が挙げられているのだ。

 CMSに関する多くのエクスプロイトはシステムの基本コードではなくインストール可能なモジュールを標的にしているが、数々の方法で機密情報へのアクセスが行われた場合にはWebサーバ管理者に対して緊急の注意を喚起する必要があるだろう。最善の防衛策は、ソフトウェアを常に最新の状態に維持して被害を食い止めることだ。

ファイアウォールだけでは不十分

 最近のWebを利用した攻撃では大抵ボットネットが利用される。ボットネットとは、バックグラウンドで攻撃を仕掛けてくるソフトウェアに(所有者の知らぬ間に)汚染されたPCで構成されるネットワークである。多くの場合、こうしたマシンは遠隔からコントロールされ、マスタサーバからの指示によって別の攻撃に切り替えることもできる。昨年eWeekが発表した「Is the Botnet Battle Already Lost?(ボットネット戦争にもはや勝機はないのか)」という記事には、ボットネットの問題がうまく要約されており、「セキュリティ専門家の間には絶望感が漂う」というくだりもある。

 ボットネットは世界的に広がっているため、IPアドレスを利用したブロッキングは役に立たない。一定種類の攻撃であれば企業のファイアウォールで阻止できるが、攻撃は日々変化するのでファイアウォールの効果にも限界がある。組織のWebの存在をゆるぎないものにする唯一確実な方法は、インターネットサーバ、オペレーティングシステム、Webサーバ、そしてあらゆるアプリケーションを最新の状態にしておくことだ。また、米国政府による「Cyber Security Alerts」のページを必ず参照するようにし、特に重大なパッチの情報がないかチェックする必要もある。

Webサーバ上のすべてを公開情報と仮定する

 たとえサーバがファイアウォールの後方にあっても、Webサーバ上のものはすべて公開される可能性があると考えるのが最善だ。機密情報をまとめてWebサイトに置いているのなら、Webサーバが稼働していない別のマシンに保存すべきである。Webサーバ上の機密データは常に危険にさらされているからだ。Privacy Rights Clearinghouse(PRC)では、常時更新されているセキュリティ侵害事件のリストを公開している。そこには今年だけで何十件というWebサーバへの侵入事例が含まれている。特に酷かったのは、問題が是正されるまでのしばらくの間、Googleで社会保障番号のリストが参照できたというケースだ。

 幸いなことに、大半のセキュリティ侵害はノートPCを紛失したり誤って機密記録を破壊したりといったローテクな要因によって生じている。インターネットが絡むという理由から最初はハイテクな手段による侵害に見えても、結局は単純な不注意によるヒューマンエラーが原因だとわかることも多い。とはいえ、どんなときも用心するに越したことはない。とにかく、人とテクノロジの両面からセキュリティポリシーに留意するとともに、すべてのソフトウェアを最新の状態に保つことである。十分に配慮していれば、自社の過失に対する 謝罪 を余儀なくされるという苦い思いをせずに済むはずだ。

ITManagersJournal.com 原文