【マンスリーレポート 2002/04】ホスティングサービスの信頼性を検証する | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.10.22(日)

【マンスリーレポート 2002/04】ホスティングサービスの信頼性を検証する

製品・サービス・業界動向 業界動向

>> Eストアーがレポートに対するリリースを開示

 多くの企業が自社のサイトを持ち、さまざまな業務をネットワークを介して行うようになった。しかし、ネットワークやシステムの管理を社内で行うには限界があり、ホスティングサービスを利用する企業が増えている。先日のみずほ証券Webでの顧客情報漏洩危機は、多くの企業にショックを与えたようだ。

 また、この際Scan Incident Report誌に掲載されたEストアーのレポートは、ホスティングサービス利用ユーザに与えた影響も大きかったようだ。レポートは大手ホスティングサービスであるEストアーにおいて、ユーザが設置したcgiファイルが原因で情報漏洩の可能性があるいうものだ。サーバ上の、本来見ることができないはずの顧客情報が誰にでもアクセスできる状態になっていた、という内容である。

 このレポートを受けて、いくつか追加検証を行ったので報告する。Eストアーに取材を申し入れたところ、マーケティング担当の方にお話をうかがうことができた。同時にほかのホスティングサービス会社にも打診し、貴重な現場の声もうかがっている。ちなみにEストアーサイドでも今回のレポートを真摯に受け止め、5月16日にリリースを発表している。


 今回問題になったのは、ホスティングサービスを利用するユーザーが設置したdisp.cgiというcgiだ。このcgiは本来パラメータで指定されたファイルをWebページに表示するためのものだが、サーバ内のファイルも表示できてしまった。さらにサーバのバージョンが合致してしまい、情報漏洩の危機につながったのだ。

 Eストアーによると、今回情報漏洩の危険性があったことは認めている。しかし、パスワードファイルは独自の管理方法を採用しているため、パスワードを読み取ることは不可能だという。disp.cgiでは、/etc/passwdのファイルを参照することができるが、ここに置いてあるファイルにはパスワードを記述していないそうだ。

 パスワードがもれる可能性はないとはいえ、ホスティングサービス利用の上でもっとも重要なセキュリティに関するレポートだったため、今回のリリースによって情報を開示したという。Eストアーでは、悪用される可能性のあるcgiファイルなどを随時監視、排除を行っているが、今後はさらに体制を強化していく。

 電話による取材では、以上のような回答が得られた。Eストアーでは4月から新たなサイトサーバのシリーズを発表し、5つのラインアップで提供している。セキュリティに関しては特に敏感に対応していく体制であるという。


【執筆:吉澤亨史】


(詳しくはScan本誌をご覧ください)
http://shop.vagabond.co.jp/m-ssw01.shtml

《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

製品・サービス・業界動向 カテゴリの人気記事 MONTHLY ランキング

  1. 次世代FW+Sandbox+SIEM+SOCの管理体制が限界を迎えるとき~三年後を先取りするVectra Networks社製品とは

    次世代FW+Sandbox+SIEM+SOCの管理体制が限界を迎えるとき~三年後を先取りするVectra Networks社製品とは

  2. Raspberry PiにKali linuxをセット、「ホワイトハッカ育成ツール」発売(スペクトラム・テクノロジー)

    Raspberry PiにKali linuxをセット、「ホワイトハッカ育成ツール」発売(スペクトラム・テクノロジー)

  3. 自分の利用しているサーバの状況を確認する方法 不正中継確認

    自分の利用しているサーバの状況を確認する方法 不正中継確認

  4. 新アルゴリズムを開発、古い制御システムでもサイバー攻撃対策が可能に(日立)

  5. 30年度サイバーセキュリティ政府予算730億円、防衛省と厚労省が各45億円超(NISC)

  6. Apache Strutsの脆弱性リスクの有無を判断できるツールを無料配布(Black Duck Software)

  7. ルートゾーンKSKロールオーバーの「新KSKでの署名開始」を延期(JPRS)

  8. IoTとAIを組み込んだスマートマンション、そのサイバーセキュリティを探る(インヴァランス)

  9. ここが危ないインターネット クレジットカードの落とし穴

  10. 顔認証システムの現状、顔写真を使った「なりすまし」も3Dデータ照合で防ぐ

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×