PR

二木 真明氏 SSE エスシー・コムテクスカンパニー ネットワークソリューション第一事業部 セキュリティシステム部副部長
吉田 柳太郎氏 SSE エスシー・コムテクスカンパニー ネットワークソリューション第一事業部 セキュリティシステム部 セキュリティシステム営業第2課 NetSceenチーム チーム長

ポリシーの甘さが被害を拡大
DMZの運用が安全性を左右

ファイアウォールでDMZ(非武装セグメント)を設ければ,社内ネットへの攻撃を防ぎつつ外部に情報を公開できる。ただしDMZの役割を良く理解せず,設定をおざなりにしていると,不正アクセスの危険が増す。

図3 C社はファイアウォールの基本的な設定ミスでウイルス被害を拡大
サーバー運用の利便性を優先して,DMZ上の外部公開用Webサーバーから外部へのHTTP通信を許可するよう設定。結果,サーバーを踏み台にして自動的に他のサーバーへ攻撃するワームに感染,被害を拡大させてしまった。
 製造業のC社は部品調達用のECポータル・サイトを公開し,インターネット経由での企業間取引を始めた。ある日,ファイアウォール保護下にある外部公開用サーバーがワームに感染。設定ミスで,全く関係のない企業のサーバーへと被害を拡大させてしまった(図3[拡大表示])。

 同社を攻撃したのは,HTTPリクエストを悪用する「CodeRed」。C社は,ファイアウォールによって外部公開用Webサーバーとイントラネット向けサーバーを異なるセグメントに設置していた。CodeRedは無作為にIPアドレスを作成し,HTTPリクエストを使って自身のプログラム・コードをインターネット上の他サーバーへ送り込む。HTTP通信が前提の外部公開用Webサーバーは感染を免れなかった。

使い勝手重視が裏目に

 しかも,このサーバーを踏み台にして他社に向けて無差別攻撃を仕掛けたことが事態を深刻にした。B社は相手先から厳重な抗議を受けた。

 B社が調査した結果,DMZ上の外部公開用Webサーバーから外部へのHTTP接続を許していたことが原因と判明した。情報システム部員がサーバーでWebブラウザを使用してパッチなどをダウンロードするため,DMZからのHTTPリクエストを通す設定になっていたのだ。

 一般に,DMZから内部や外部への通信は可能な限り制限するのがファイアウォール設定の定石だ。C社もそうしていれば,他社への被害拡大をくい止められたはずだった。

 結局C社は,ファイアウォールの設定ポリシーを見直し,DMZから内部や外部への通信をできないように設定。外部からDMZへの方向も必要最低限のものに限った。さらに,サーバーのソフトウエア・アップデートはローカル・ファイルで実行するよう,運用方針を変えて万全を期した。