【インターネットに公開しているサービス特有の攻撃とその対処方法（1）】（東陽テクニカ）

　インターネット上に公開するサーバは常にハッカーのターゲットになる可能性を秘めている。そこでサービスを提供しているならば、そのサービス自体の持つ脆弱性やサービス特有の一般的な攻撃により被害を受ける可能性も十分に考えられる。ここでは代表的なインターネッ

特集特集

2001年6月7日（木） 12時00分

　インターネット上に公開するサーバは常にハッカーのターゲットになる可能性を秘めている。そこでサービスを提供しているならば、そのサービス自体の持つ脆弱性やサービス特有の一般的な攻撃により被害を受ける可能性も十分に考えられる。ここでは代表的なインターネットサービスについてどのような攻撃があるのか、またその設定方法おもに強化方法について説明していきたい。

＜はじめに＞
　毎日のようにさまざまなOS、アプリケーションソフトのセキュリティホールが報告されている。また、報告されている以外にも、それぞれのアプリケーションが複雑に絡み合って起こるセキュリティホールがある場合も十分に考えられる。もちろん潜在的なものも。新たなセキュリティホールをついてハッカーが攻撃してこないとは言い切れない。１つのOSと１つのアプリケーションでさえ多大な既知のセキュリティホールと潜在的なセキュリティホールが存在するわけであるから、インターネットに公開するサーバは、単一サービスで提供するのがもっとも管理しやすくセキュリティ確保に効果的な方法であるといえる。原則として、絶対に必要なサービス以外はインストールしないこと。必要かどうか分からないサービスは無効にすること。というのを肝に銘じておくことが必要である。

＜Webサービスにおける注意点と攻撃例＞

　Webサービスはインターネットを使用している一般ユーザに取って一番目に付くところである。ということは一番攻撃されやすいターゲットであるといってよい。Webサーバをどのように構築し、管理していけばよいのか？

・Webサーバの設定における注意点
　CIAC（Computer Incident Advisory Center）のJ-042: Web Securityにセキュリティを高める16の方法に関して記載されてあるので抜粋してみた。
→CIAC J-042:
Web Security http://www.ciac.org/ciac/bulletins/j-042.shtml

1. WebサーバはDMZ（非武装地帯）設置し、ポート80,443以外は通過しないようにする。
2. すべての必要でないサービスは削除する。
3. リモートからの管理特権利用は禁止する。
4. 管理特権をもつユーザの数を制限する。
5. Web上で行われたすべてのログはこのマシンとは離れたイントラネット内にあるマシンで保存しておく。
6. 危険な攻撃があった場合のトラップで警告を出せるようにしておく。
7. phfのような不必要な/cgi-binに含まれるスクリプトは削除する。
8. IISでデフォルトインストールされるファイルは削除しておく。
（default.htmなど）
9. セキュリティパッチはアナウンスされたと同時に当てる
10. ローカルコンソール上でGUIコンソールを使わなければならない場合は、スタートアップで自動的にGUIが立ち上がらないようにしておく。また、長時間GUIコンソールを立ち上げっぱなしにしておいて席を外さないよう
にする。
11. リモートから管理しなければならないときはSecure-Shellを利用する。外部からのtelnetやanonymous-FTPは許可してはいけない。
12. 本当のシステムファイルにアクセスできないようにするため、chroot-ed部分でWebサーバを動作させる。
13.　本当のシステムファイルにアクセスできないようにするため、chroot-ed部分で（必要ならば）FTPサーバを動作させる。
14. アップデートは内部ネットから行う。
15. ISSやnmapを使ってWebサーバの弱点を探しておく。
16. IDS（不正侵入検出装置）でWebサーバに接続するすべてのパケットを監視する。

米NetworkICE社ホームページ：
http://www.networkice.com/
advICE（英語）ページ：
http://advice.networkice.com/Advice/default.htm

（株）東陽テクニカセキュリティホームページ：
http://www.toyo.co.jp/security/index.html
advICE（日本語）ページ：
http://www.toyo.co.jp/security/ice/advice/

（株）東陽テクニカ
情報通信システム部セキュリティグループ
安食　覚

詳しくはScan本誌をご覧下さい
http://www.vagabond.co.jp/c2/scan/

《ScanNetSecurity》

Scan PREMIUM 会員限定記事

Scan PREMIUM 会員限定記事特集をもっと見る

【インターネットに公開しているサービス特有の攻撃とその対処方法（1）】（東陽テクニカ）

Scan PREMIUM 会員限定記事

Linux の GSM ドライバにおける Use-After-Free の脆弱性（Scan Tech Report）

訃報：セキュリティの草分けロス・アンダーソン氏死去 67 歳、何回分かの生涯に匹敵する業績

ガートナークラウドクッキング教室～ CCoE 構築の重要性

OWASP データブリーチ

カテゴリ別新着記事

Scan PREMIUM 会員限定記事

Linux の GSM ドライバにおける Use-After-Free の脆弱性（Scan Tech Report）

訃報：セキュリティの草分けロス・アンダーソン氏 死去 67 歳、何回分かの生涯に匹敵する業績

ガートナー クラウドクッキング教室 ～ CCoE 構築の重要性

OWASP データブリーチ

カテゴリ別新着記事

脆弱性と脅威 記事一覧へ

Linux の GSM ドライバにおける Use-After-Free の脆弱性（Scan Tech Report）

Armeria-saml に SAML メッセージ取り扱い不備

LINE client for iOS にサーバ証明書の検証不備の脆弱性

Adobe ColdFusion の脆弱性を悪用し webshell が設置される被害

PuTTY SSH クライアントの ECDSA 署名処理の実装に脆弱性

WordPress 用プラグイン Forminator に複数の脆弱性

インシデント・事故 記事一覧へ

タカラベルモントの海外向けウェブサイトのサーバがフィッシングメール送信の踏み台に

LINEヤフー委託先への不正アクセス、報告書を受け 2 度目の行政指導

Acompany で 4 件の Google フォーム誤設定、最大 164 名の個人情報が閲覧可能に

笛吹市商工会へのサポート詐欺被害、調査結果公表

「相鉄ポイント」引き継ぎで会員情報を取り違え、他の顧客の個人情報が閲覧可能に

NDIソリューションズの RAG サービスに不正アクセス、個人情報を格納するサービスへの痕跡は確認されず

調査・レポート・白書・ガイドライン 記事一覧へ

2024年第1四半期「JVN iPedia」登録状況、最多アクセスは WordPress 用プラグイン WordPress Quiz Maker Plugin における不適切な入力確認の脆弱性

国内カード発行会社のドメイン毎の DMARC 設定率 36.2％「キャッシュレスセキュリティレポート（2023年10-12月版）」公表

社員のセキュリティ意欲高める施策とは？ 罰則は逆効果 ～ プルーフポイント「2024 State of the Phish」日本語版公表

セキュリティにおける効果は実感できるのか ～ SECURITY ACTION 宣言「得られた効果はない」最多

セキュリティ対策は株価を上げるのか ～ 株主総利回り（TSR）の平均値は高い傾向

被害額オレオレ詐欺の３倍 時間かけ信頼醸成「SNS型投資詐欺」～トビラシステムズ独自調査

研修・セミナー・カンファレンス 記事一覧へ

スペシャリスト集結！ マネーフォワード・ラック・富士ソフト・電通総研から学ぶ、脆弱性診断内製化の成功法則とは？ AeyeScan 導入企業との公開対談

ガートナー クラウドクッキング教室 ～ CCoE 構築の重要性

Reject 運用のポイント他 ～ 日本プルーフポイント「DMARC Conference 2024」5 月末 大手町で開催

韓国の 2024年 セキュリティ市場規模 8,000 億円見込 ～ SECON & eGISEC 2024 開催

エーアイセキュリティラボ、脆弱性診断の自動化・内製化のための無料ツールと AI 活用解説 4/18 セミナー開催

中高生サイバーセキュリティ競技会「CyberSakura」第3回、京都府立嵯峨野高等学校 チーム「HEXAGON」優勝

製品・サービス・業界動向 記事一覧へ

SHIFT SECURITY、OWASP Top10 for LLMs に基づいた「生成AI活用システム診断」リリース

情報処理学会、高等学校情報科の全教科書の用語リスト公開

脆弱性診断自動化ツール「AeyeScan」の SSO 機能が SAML 認証に対応

セキュリティ診断会社と開発会社が業務提携 ～ SHIFT SECURITY とフォージビジョン

賞金総額 1 万ドル「LINE CTF 2024」GMOイエラエ 国内 1 位

警察庁、サイバー事案通報の統一窓口を設置

おしらせ 記事一覧へ

創刊25周年記念キャンペーンのノベルティが届きました！（25周年記念キャンペーンは本日終了です）

人気連載 Scan PREMIUM Monthly Executive Summary の岩{丼}先生の著作にサインいただきました [Scan PREMIUM 創刊25周年記念キャンペーン 読者特典]

Scan PREMIUM 創刊25周年記念キャンペーン実施中

ScanNetSecurity 創刊25周年御礼の辞（上野宣）

小説内に登場するバーで直筆サインをいただきました ～ 創刊24周年キャンペーン 11/30 迄

「果たされた約束」アフタヌーンティー開催レポート ～ 創刊24周年キャンペーン実施のおしらせ

訃報：セキュリティの草分けロス・アンダーソン氏死去 67 歳、何回分かの生涯に匹敵する業績

ガートナークラウドクッキング教室～ CCoE 構築の重要性

脆弱性と脅威記事一覧へ

インシデント・事故記事一覧へ

調査・レポート・白書・ガイドライン記事一覧へ

社員のセキュリティ意欲高める施策とは？罰則は逆効果～プルーフポイント「2024 State of the Phish」日本語版公表

セキュリティにおける効果は実感できるのか～ SECURITY ACTION 宣言「得られた効果はない」最多

セキュリティ対策は株価を上げるのか～株主総利回り（TSR）の平均値は高い傾向

被害額オレオレ詐欺の３倍時間かけ信頼醸成「SNS型投資詐欺」～トビラシステムズ独自調査

研修・セミナー・カンファレンス記事一覧へ

スペシャリスト集結！マネーフォワード・ラック・富士ソフト・電通総研から学ぶ、脆弱性診断内製化の成功法則とは？ AeyeScan 導入企業との公開対談

ガートナークラウドクッキング教室～ CCoE 構築の重要性

Reject 運用のポイント他～日本プルーフポイント「DMARC Conference 2024」5 月末大手町で開催

韓国の 2024年セキュリティ市場規模 8,000 億円見込～ SECON & eGISEC 2024 開催

中高生サイバーセキュリティ競技会「CyberSakura」第3回、京都府立嵯峨野高等学校チーム「HEXAGON」優勝

製品・サービス・業界動向記事一覧へ

セキュリティ診断会社と開発会社が業務提携～ SHIFT SECURITY とフォージビジョン

賞金総額 1 万ドル「LINE CTF 2024」GMOイエラエ国内 1 位

おしらせ記事一覧へ

人気連載 Scan PREMIUM Monthly Executive Summary の岩{丼}先生の著作にサインいただきました [Scan PREMIUM 創刊25周年記念キャンペーン読者特典]

小説内に登場するバーで直筆サインをいただきました～創刊24周年キャンペーン 11/30 迄

「果たされた約束」アフタヌーンティー開催レポート～創刊24周年キャンペーン実施のおしらせ