【マンスリーレポート 2002/04】ホスティングサービスの信頼性を検証する | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.12.13(水)

【マンスリーレポート 2002/04】ホスティングサービスの信頼性を検証する

製品・サービス・業界動向 業界動向

>> Eストアーがレポートに対するリリースを開示

 多くの企業が自社のサイトを持ち、さまざまな業務をネットワークを介して行うようになった。しかし、ネットワークやシステムの管理を社内で行うには限界があり、ホスティングサービスを利用する企業が増えている。先日のみずほ証券Webでの顧客情報漏洩危機は、多くの企業にショックを与えたようだ。

 また、この際Scan Incident Report誌に掲載されたEストアーのレポートは、ホスティングサービス利用ユーザに与えた影響も大きかったようだ。レポートは大手ホスティングサービスであるEストアーにおいて、ユーザが設置したcgiファイルが原因で情報漏洩の可能性があるいうものだ。サーバ上の、本来見ることができないはずの顧客情報が誰にでもアクセスできる状態になっていた、という内容である。

 このレポートを受けて、いくつか追加検証を行ったので報告する。Eストアーに取材を申し入れたところ、マーケティング担当の方にお話をうかがうことができた。同時にほかのホスティングサービス会社にも打診し、貴重な現場の声もうかがっている。ちなみにEストアーサイドでも今回のレポートを真摯に受け止め、5月16日にリリースを発表している。


 今回問題になったのは、ホスティングサービスを利用するユーザーが設置したdisp.cgiというcgiだ。このcgiは本来パラメータで指定されたファイルをWebページに表示するためのものだが、サーバ内のファイルも表示できてしまった。さらにサーバのバージョンが合致してしまい、情報漏洩の危機につながったのだ。

 Eストアーによると、今回情報漏洩の危険性があったことは認めている。しかし、パスワードファイルは独自の管理方法を採用しているため、パスワードを読み取ることは不可能だという。disp.cgiでは、/etc/passwdのファイルを参照することができるが、ここに置いてあるファイルにはパスワードを記述していないそうだ。

 パスワードがもれる可能性はないとはいえ、ホスティングサービス利用の上でもっとも重要なセキュリティに関するレポートだったため、今回のリリースによって情報を開示したという。Eストアーでは、悪用される可能性のあるcgiファイルなどを随時監視、排除を行っているが、今後はさらに体制を強化していく。

 電話による取材では、以上のような回答が得られた。Eストアーでは4月から新たなサイトサーバのシリーズを発表し、5つのラインアップで提供している。セキュリティに関しては特に敏感に対応していく体制であるという。


【執筆:吉澤亨史】


(詳しくはScan本誌をご覧ください)
http://shop.vagabond.co.jp/m-ssw01.shtml

《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

製品・サービス・業界動向 カテゴリの人気記事 MONTHLY ランキング

  1. イスラエルのサイバー防衛たてつけ~視察団報告

    イスラエルのサイバー防衛たてつけ~視察団報告

  2. 次世代FW+Sandbox+SIEM+SOCの管理体制が限界を迎えるとき~三年後を先取りするVectra Networks社製品とは

    次世代FW+Sandbox+SIEM+SOCの管理体制が限界を迎えるとき~三年後を先取りするVectra Networks社製品とは

  3. シミュレーションゲーム「データセンターアタック」(トレンドマイクロ)

    シミュレーションゲーム「データセンターアタック」(トレンドマイクロ)

  4. 自分の利用しているサーバの状況を確認する方法 不正中継確認

  5. サイバーセキュリティ経営ガイドライン改訂、経営者が指示すべき10項目見直しや事後対策取組など(経済産業省)

  6. ダークウェブからAIで情報収集(DTRS、IISEC)

  7. 人の動作に偽装するボットアクセスを検知(アカマイ)

  8. EDRとSOCを連携させた標的型攻撃対策サービスを提供(TIS)

  9. 2020大会関係者向け疑似サイバー攻撃演習、システムを忠実に再現(NICT)

  10. 学校の自殺予防体制、情報セキュリティ技術活用

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×