【SCAN Security Alert #1 co.jp 実態調査結果に見る日本、イスラエル、米国の違い】 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.12.19(火)

【SCAN Security Alert #1 co.jp 実態調査結果に見る日本、イスラエル、米国の違い】

特集 特集

 本記事は、SCAN 編集部が実施した co.jp サーバ実態調査の結果について、イスラエル SecuriTeam との間での英文メールのやりとりしたものを翻訳し、原稿におこしたものである。

◇「SCAN Security Alert」を発表!〜Scan Security Wireが国内企業サーバのセキュリティ実態を調査〜(2002.3.12)
https://www.netsecurity.ne.jp/article/1/4298.html


>> サーバで危険なサービスは3つ、この他にCGIなどカスタムアプリケーションも脆弱性になる可能性

編集部:セキュリティホールがFIXされていない脆弱なサーバを運用すること  による危険として考えられるのことについてお聞かせください。特に OS   と Webサーバアプリケーションのバージョン関連して考えられることを教  えてください。

SecuriTeam:一般に、セキュリティ上の脆弱性は、サービスを外部に開放することによって「作られる」。最も安全なサーバとは、外部に何のサービスも提供しないサーバである。ファイアウォール以外のサービスは実行しないよう、ファイアウォールを設置するのはそのためである。

 しかしほとんどの場合、ファイアウォールしか稼動させないというのは非現実的(サーバでサービスを提供しないのであれば、なぜサービスをインターネットに接続する必要があるのか)であり、サービスを外部に開放した瞬間、サーバが攻撃にさらされることになる。

 具体的には、以下のサービスが特に危険だと考えられている。

1) オープンシェア(ファイルの読み出し/書き込みが可能となるため)。
2) 脆弱性に関して「悪い」履歴を持つ旧式サービス(例えば、rlogin、rshなどUNIXを使った多様なr*サービス)。
3) リモートログインを許可するサービス(telnet、ssh、pcanywhereなど)。
このようなサービスは、弱いパスワードを狙われやすい。弱いパスワードを「推測」できる攻撃者は、サーバにリモートでログインし、支配できることになる。

 上記以外のWebサーバやメールサーバなど非常に基本的なサーバでさえ、脆弱となる場合がある。その理由は、以下の2つである。

1) サービスレベルの脆弱性。例えば近年、MicrosoftのIIS Webサーバは、プログラムバグのために脆弱であると度々指摘されてきた。バグによっては、攻撃者がバッファオーバフローやキャラクタエンコーディングなどのテクニックを使って、サーバを完全に支配できる。これは、外部にサービスを提供するサーバで動作する他の多くのアプリケーションについても言えることである。
2) カスタムアプリケーションの脆弱性。Webサーバの基本機能に何か(例えば、ASP/CGIなどのサーバサイドスクリプト)を追加した場合、それがサーバの危険を増すセキュリティホールを含む可能性がある。「SQL injection」攻撃は、カスタムスクリプトで非常に一般的な脆弱性の1つである。これは、攻撃者がカスタムアプリケーションの非常に小さなプログラミングバグを悪用してデータベースにコマンドを実行し、時にはデータベース上の本来は機密の情報にまでアクセスするものである。この脆弱性には、Apache Webサーバなど安全として知られるサーバを使っている場合に、特に注意が必要である。Webサーバが安全であっても、企業によるカスタムメードの脆弱なアプリケーションを追加すれば、サーバ全体が攻撃に対して弱みを持つことになる。

 SANSは、特に狙われやすい上位20の脆弱性を「トップ20」リストとして発表している。 http://www.sans.org/top20.htm を参照されたい。


>> Apache 1.3.14 以前ではバーチャルホスティング利用者の利用できる脆弱性の事件が多い

編集部:今回の調査結果をご覧いただいて、米国とイスラエルで使用されているOS、Webの仕様/バージョンと、日本で使用されているものとの間に違いについて、教えてください。

SecuriTeam:イスラエルでは、Microsoftが非常によく市場に浸透しているため、Microsoft対応のソリューションが広く使用されている。したがって、IISサーバの割合が高く、Apacheの割合は低い。Linuxは、比較的「進んだ」管理者が、最新のソフトウェアバージョンとともに使用することが多い。

 米国では、Apacheが普及している。netcraftによると( http://www.netcraft.co.uk/survey/ )、Apacheが総サーバ数のほぼ54%、アクティブなWebサイトの65%以上に使用されている。

 バージョンに関しては、どのバージョンが使用されているのかの推測が難しい。しかし、何千、何万ものマシンでセキュリティに対する脆弱性スキャンを行ってきた経験から言うと、旧いバージョンが広く使用されているようだ。
 しかし、Apache Webサーバは、比較的長期間にわたってまずまずの安全性を維持しており、旧いバージョンでも正しく設定すれば比較的安全である。

 1.3.14より前のバージョンには、セキュリティ上の脆弱性が多い。下記のWebサイトを参照されたい。
http://www.securiteam.com/securitynews/5FQ010A1PM.html
http://www.securiteam.com/securitynews/6A00S0A00Y.html
http://www.securiteam.com/exploits/5JP0G204KG.html

 上記のサイトに示された脆弱性はすべて、Apacheの特定の設定のもとで発生するため、旧いバージョンすべてが該当するわけではない。したがって、それらのバージョンの使用には心配があるものの、通常、差し迫った危険はない。

 バーチャルサーバなどマルチユーザ環境の場合、多くのWebサイトオペレータが重大なセキュリティホールを残しており、20ドル払ってそのサーバでバーチャルWebサイトを持ったユーザがそのWebサイト全体を乗っ取ったり、同じサーバ上の他のバーチャルWebサイトにアクセスしたりするケースが多数、確認されている。これは、悪いサーバ設定か、Webサーバ自体のセキュリティホールではなくカスタムメードの危険なスクリプトに起因することが多い。


(詳しくはScan本誌をご覧ください)
http://shop.vagabond.co.jp/m-ssw01.shtml


《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. ここが変だよ日本のセキュリティ 第31回「中二病全開!アンチ・アンチ・オーディット作戦発動!!」

    ここが変だよ日本のセキュリティ 第31回「中二病全開!アンチ・アンチ・オーディット作戦発動!!」

  2. グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

    グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

  3. [数字でわかるサイバーセキュリティ] 2018年度政府サイバーセキュリティ予算、大規模予算施策一覧

    [数字でわかるサイバーセキュリティ] 2018年度政府サイバーセキュリティ予算、大規模予算施策一覧

  4. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  5. [セキュリティホットトピック] まるで海外アングラサイト? 中学生がフリマアプリでウイルス売買し書類送検

  6. ここが変だよ日本のセキュリティ 第30回「ダメンズ・オーディット! 上場企業なら避けて通れない監査対応に監査感激!」

  7. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第11回「五十四歳」

  8. [セキュリティホットトピック] 金融機関情報を狙う「DreamBot」「Gozi・Ursnif」、国内でまた活発化

  9. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第12回「社長面談」

  10. [数字でわかるサイバーセキュリティ] FormBook、圧縮ファイル添付攻撃で日本も上位10位内の標的国に

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×