【マンスリーレポート 2003/05】OCNによる「業者の規模に拠らない」迅速な事後対応 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.12.11(月)

【マンスリーレポート 2003/05】OCNによる「業者の規模に拠らない」迅速な事後対応

製品・サービス・業界動向 業界動向

 レンタルサーバ業界大手の「OCN」に、情報漏洩などの危険性があったことが判明した。
 現在、多くの企業が自社でサーバを構えずに、外部のISPやデータセンターなどの業者に委託するアウトソーシングを行っている。レンタルサーバ業者のサーバに脆弱性があるとなれば、一社のみならず広く社会に影響を及ぼしかねない事態にまで発展することもあるだろう。インシデントを事前に防ぐ最善の努力をすること。生じてしまった後には速やかに対応を行うこと。これらはレンタルサーバ業者の義務であるが、本件に対するOCNの対応は非常に迅速であった。

>> レンタルサーバクラックと、旧バージョンアプリの使用

 今回、OCNで発見された脆弱性。その1つ目は、「レンタルサーバクラッキング」あるいは「$20 virtual web server hack」と称される類の問題である。

 レンタルサーバの利用者がCGIを使うことにより、他ユーザのデータ盗聴、改竄、データセンター内部への侵入などが可能となる脆弱性だ。今回発見された改ざん可能と思われるファイルやフォルダは約4,500個。問題の原因はパーミッション設定にあり、たとえユーザがBasic認証などを使用したディレクトリを作成していた場合でも、そのディレクトリの中身やパスワードファイルを閲覧することが可能であった。

 もう一点は、アプリケーションのバージョンに関与するもの。使用していた旧バージョンのサーバ運用・保守用ソフトウェアは、直接インターネット越しに攻撃可能なものではないが、今回のようにCGIを踏み台にすれば攻撃することができる。


>> 約1週間で対応完了

 本件については、編集部からOCNへ一報を入れてから約1週間程で、対応が完了している。

 業者の規模が大きければ大きい程、その対応に時間を割かれることとなるが、今回のOCNの対応は非常に迅速かつ、きめの細かいものであったと評価したい。パーミッションの設定、アプリケーションのバージョンアップ、これらに伴う社内連携と告知。さらにパーミッションの設定においては、自社内で完結することではなく、ユーザの側にも対応をお願いしなければならない問題である。告知→ユーザが認知→ユーザが対処 というフローを辿ってはじめて完了といえるものであり、それゆえ告知に至るまでの対応に迅速さが求められることになる。以下、一報から対応までの業務分担について、OCNに伺った。

=====<以下、OCNコメント>
 御社からご一報いただいてから、意思決定・対応に関して、開発、運用、お客様サポート等の各部門からなるプロジェクトチームにより実施させていただきました。

 対処の決定にあたっては、即応を基本として、お客様への影響を慎重に確認した上で実施するという前提で進めてまいりました。

 ご指摘の通り、今回の件では検討すべき事項が多岐に渡っておりましたので、各部門の協力の元、事実確認、リスクアセスメント、対策の検討、検証、実施といった作業を分担して進めてまいりました。
=====

 一方、対応の迅速さについては、以下のようにコメントを頂いた。

=====<以下、OCNコメント>
 弊社としては当然取るべき対応を行っただけと考えておりますが、強いて言えば、上記の通りプロジェクトチームによる組織的な対応を行ったことが、御社から迅速であると評価していただける結果に繋がったのではないかと思います。
=====

[ Prisoner DAMLAK ]

(詳しくはScan Security Managementをご覧ください)
http://shop.vagabond.co.jp/m-ssm01.shtml


──────────────────────────────〔Info〕──
Scan Monthly Report Best Worst
http://shop.vagabond.co.jp/p-sbw01.shtml

ネットワークセキュリティ・インシデント年鑑2003
http://shop.vagabond.co.jp/p-inc02.shtml
───────────────────────────────────

《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

製品・サービス・業界動向 カテゴリの人気記事 MONTHLY ランキング

  1. イスラエルのサイバー防衛たてつけ~視察団報告

    イスラエルのサイバー防衛たてつけ~視察団報告

  2. 次世代FW+Sandbox+SIEM+SOCの管理体制が限界を迎えるとき~三年後を先取りするVectra Networks社製品とは

    次世代FW+Sandbox+SIEM+SOCの管理体制が限界を迎えるとき~三年後を先取りするVectra Networks社製品とは

  3. シミュレーションゲーム「データセンターアタック」(トレンドマイクロ)

    シミュレーションゲーム「データセンターアタック」(トレンドマイクロ)

  4. 自分の利用しているサーバの状況を確認する方法 不正中継確認

  5. サイバーセキュリティ経営ガイドライン改訂、経営者が指示すべき10項目見直しや事後対策取組など(経済産業省)

  6. ダークウェブからAIで情報収集(DTRS、IISEC)

  7. 人の動作に偽装するボットアクセスを検知(アカマイ)

  8. EDRとSOCを連携させた標的型攻撃対策サービスを提供(TIS)

  9. 学校の自殺予防体制、情報セキュリティ技術活用

  10. 2020大会関係者向け疑似サイバー攻撃演習、システムを忠実に再現(NICT)

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×