IIS=Internet Incident Server?(意訳:インターネット・イタイ・サーバ)が社内 LAN から企業システムを汚染する | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2018.01.23(火)

IIS=Internet Incident Server?(意訳:インターネット・イタイ・サーバ)が社内 LAN から企業システムを汚染する

製品・サービス・業界動向 業界動向

〜インターネットよりも社内 LAN の方が怖い!?〜

 連続改竄事件の犯人であるクラッカーグループ "TeckLife" は、IIS をターゲットとした活動を行っているらしい。

同一ハッカーにより、国内外で100件以上のWeb改竄が発生(2001.11.8)
https://www.netsecurity.ne.jp/article/1/3219.html

 IIS は手軽かつ安価にサーバを構築できる有用なツールであるが、多くの場合便利は危険を伴う。IIS は、使いやすいと同時に、ねらわれやすいサーバでもある。Code Red、Nimda といったワームの拡散に代表される事件( Incident )がそれを物語っている。
 安易にサーバをたてた企業が、繰り返し改竄された例も少なくない。

 とはいえ、あの手軽さには、かえがたいものがある。社内サーバならば大丈夫だろう・・・と使ってしまう気持ちもわからないでもない。
 オープンなインターネットに接続されているから危険なのであり、クローズドな社内LAN ならば別に大丈夫だろう。そう思うのは、人の常である。

 社内の情報共有のためにたてた、なんのパッチもあてていない、すっぴんのIIS は、時として内部から社内ネットワークを侵食するモンスターとなる。さらにいうと、仮に社内サーバがUNIX系のOSを利用していてもsamba などでWindowsとファイルを共有していると、そこから汚染されることもある。サーバがUNIX系でも、Windowsのサーバもしくはクライアントとファイルが共有されていれば、そこから汚染は広がるのである。

Nimda 続報 UNIX でもLAN経由で共有ファイルが感染する(2001.9.26)
https://www.netsecurity.ne.jp/article/8/2883.html

 社内LAN とはいっても外部からの感染がないわけではない。ご存じのように最近のワームは、複数の感染経路を複合的に利用するようになっている。相手は、休むことも、疲れることもなく自動攻撃を続けるワームである。わずかな弱点から進入してくる。共有ファイル、社内サーバにも感染し、踏み台にしてさらに感染を拡大する。

Nimdaの脅威の本質 javaスクリプトだけ切っても自衛できない(2001.9.20)
https://www.netsecurity.ne.jp/article/1/2849.html
【続報】複合的な攻撃、感染機能をもつウィルス Nimda(2001.9.19)
https://www.netsecurity.ne.jp/article/8/2846.html

 社内LAN 内は「安全」という油断が、被害を拡大する。
 ある意味、社内の方が危険な面をもっている。パーソナルファイアウォールを個別のクライアントに入れていなければ、社内 LAN 内のサーバに対して、クライアントマシンを守ってくれる防壁はない。もっともあったとしても、それをオンにすると、相当に不便になってしまうだろう

 Code Red 、Nimda の際には、社内LAN の汚染が企業では問題になった。社内LAN のため、あまり表立って話題にされることは少ないが、中の人間にとっては、深刻な問題である。LAN に公開しているファイルが勝手にワームつきに改変されてしまうこともある。
 共有フォルダや社内サーバがワームつきの危険物になってしまうと、業務に直接支障がでる分、社外のインターネットサイトの汚染よりも事態は深刻となる。
 もしかしたら、勝手に社内資料をメールで送り出されたりしているかも知れないのである。社内のパソコンが、勝手に社外の第三者のサーバにポートスキャンをかけたり、バッファオーバーフロー攻撃を仕掛けるかも知れない。

 とある大手ソフトウェアベンダでは、社内の情報共有に、各個人が勝手にたてた IIS が Code Red や Nimda に汚染されてしまって駆除に困っているという話しもある。全部のサーバを全て停止して、駆除すればよいのだが、社内で誰がサーバをたてているかわからない。そのためわかっている範囲のサーバからワームを駆除しても、また社内のどこかのサーバから汚染されてしまうのである。

 つい先日、イントラゾーンと誤認識してしまう脆弱性が発見された。ますますもって、社内といえども万全の心構えで再度セキュリティに注意をしなければならない。

MS01-051 不正なドットなし IP アドレスにより Web ページがイントラネット ゾーンで処理されてしまう
http://www.microsoft.com/japan/technet/security/prekb.asp?sec_cd=MS01-051
https://www.netsecurity.ne.jp/article/6/3014.html


[ Prisoner Langley ]

(詳しくはScan Daily EXpress本誌をご覧下さい)
http://vagabond.co.jp/vv/m-sdex.htm


《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×