科学技術庁,総務庁などのWebサイトが続々と改ざんを受けた。原因は,Webサーバーの修正ソフト(パッチ)の適用といった対策を怠っていたからと見られる。一方,ファイアウォールの内側に設置していたWebサイトは,攻撃を撃退できたという。しかし,実際はファイアウォールだけでは不十分で,Webサーバー自身のセキュリティ対策が必要になる。
2000年1月24日,科学技術庁のホームページが改ざんされたのを皮切りに,官公庁関連のWebサイトに対する不正アクセスが相次いだ(表1[拡大表示])。被害は10件を超え,改ざんを受けたWebサイトの多くは,事件後2週間以上も閉鎖されたままだ。
|
| 表1 官公庁のWebサイトに対する主な不正アクセス |
仮に,攻撃されたのが自社のWebサイトだとしたら,それほど問題はないと考える企業ユーザーもいるかもしれない。Webサイト上のデータがすべて公開情報なら,盗まれても困らないだろう。しかし,「Webサイトに侵入できれば,ほぼ100%社内ネットワークに侵入できる。Webコンテンツを社内から更新できるように,ファイアウォールに穴を開けてあるからだ」(米シスコ・システムズ セキュリティ・マーケティングSISOマネージャのアンドリュー・ピーターズ氏)という指摘もある。Webサイトを守るための実際の手段を考えてみよう。
ファイアウォールでは守り切れない
官公庁のWebサイトの中でも,実際に不正アクセスを受けながら侵入されなかったサイトもある。人事院や文部省などのWebサイトでは,インターネットとの間にファイアウォールを設置しており,そのために攻撃を防げたもようだ。ファイアウォールは,Webのアクセス・プロトコルHTTP以外の不正アクセスを遮断する機能がある。
ところがWebサイトを守るには,ファイアウォールだけでは不十分である。Webサーバー自体のセキュリティ対策を怠ると,ファイアウォールがあっても不正侵入を受け得る。
例えば,99年6月に発見されたマイクロソフトのWebサーバー「Internet Information Server4.0」のセキュリティ・ホール。特定のURLでアクセスすると,Windows NT上で任意のコマンドを実行できる。攻撃に利用するプロトコルはHTTPだけで,ファイアウォール経由でも実行可能だ。
|
|
写真1 ファイアウォール経由でWebサイトに侵入できるツール 米eEyeが公開したツールを,ラックが日本語IIS向けに変更したもの。マイクロソフトのIIS4.0に適切な修正ソフト(パッチ)を適用しておかないと,OSの管理者権限まで取得される。ラックはこのツールを公開していない |
こうした危険なセキュリティ・ホールは,IISに限らず,旧ネットスケープ・コミュニケーションズのEnterprise Serverなどでも時折発見される。ベンダーはセキュリティ・ホールが見つかれば,たいていすぐにパッチを用意するが,ユーザーは,これを直ちにWebサイトに適用しなければならない。利用中のバージョンが古くなってサポートが切れれば,バージョン・アップが必要になる。
現在稼働している官公庁のWebサーバーを実際に調べてみると,サポートの切れた旧バージョンを使っていたり,パッチをあてていないサイトがまだ多い。Webサーバーのバージョンは,通常のTelnetコマンドで簡単に調べられる。Webアドレスを入力すると,WebサーバーとOSのバージョンを調べてくれるWebサイトもある(写真2[拡大表示])。
ホスティングに頼るべきか
もっとも,パッチとバージョンアップを継続的に実施するのは,それほど容易ではない。修正によって,Webサーバーが正しく動作しなくなることもあるからだ。「同じ内容のマシンを2台用意して,予備マシンでテストしてから,適用するのが現実的」(ラック 不正アクセス対策事業本部長の三輪 信雄氏)だが,コストも手間もかかる。
|
|
写真2 Webサーバーの種類とバージョンを調べられるWebサイト どの修正ソフト(パッチ)が適用されているかや,利用しているOSの種類までわかることが多い。表示されているEnterprise Server 3.5.1は,ベンダーのサポートが終わったバージョン。最新のセキュリティ・ホールに対するパッチは存在しない。 |
こうした作業が負担なら,ISPなどのWebホスティング・サービスを利用する方法もある。自社で運営するなら,専門技術者の確保が不可欠だ。
