文系管理者や経営者が昨今のセキュリティ事件に不安を持っていろいろ質問をしても、エンジニアの返答は何を言っているかよくわからないことが多いだろう。そういう方のための三回連載です。前回は、安全を保証する電子証明書の有効期限が切れている事例を紹介した。不正にシステムにアクセスする奴らは見逃さない。今回は、過去のシステムの運用情報から脆弱なシステムを見破るやり方を紹介しよう。●事例2:システムの保守を行った時期が遅い英国にはインターネットのセキュリティー統計などを手がけるネットクラフトというサイトがある。同サイトは、世界中のウェブサーバーを巡回し、OS、ウェブサーバーのバージョン情報を収集している。つまり、特定のサイトのバージョンアップを実施した日付けを過去にさかのぼって調査することができる。ここでは、「警察庁」のサイトを例に説明する。まず、ネットクラフトのトップページにある"Webserver Search"で該当URL(警察庁なのでwww.npa.go.jp)を入力し、サーチを行う。すると、次のような情報を入手することができる。 [ネットクラフト] http://www.netcraft.com/ Netcraftによって入手できた情報(一部)・最後にリブートを行ってから何日経っているか。・同サイトを初めて確認した年月・IPアドレス・ネームサーバー・OS、ウェブサーバーのバージョンアップを行った日付け警察庁で検索した結果、次のようなことがわかる。(以下の情報は、記事の執筆時点です。検索した日によって変わる可能性がありますので、ご了承ください)・最後にリブートしてから26日経っている・1996年8月にネットクラフトはホームページが存在することを確認している。・IPアドレスは、61.117.156.245である。・ネームサーバーは、okfm.npa.go.jpである。最後に、OS、ウェブサーバーのバージョンアップを行った日付けがサーバー履歴として入手できる。Hosting HistoryNational Police Agency 61.117.156.245 Solaris 8 Hitachi Web Server 02-02 Unix mod_jk 3-Apr-2005 National Police Agency 61.117.156.245 HP-UX Netscape-Enterprise/6.0 3-Aug-2004 National Police Agency 61.117.156.228 HP-UX Netscape-Enterprise/6.0 8-May-2004 National Police Agency 61.117.156.228 HP-UX Netscape-Enterprise/6.0 21-Nov-2003 National Police Agency 61.117.156.228 HP-UX Netscape-Enterprise/4.1 19-Mar-2002 National Police Agency 61.117.156.228 HP-UX Netscape-Enterprise/4.1 18-Mar-2002 National Police Agency 61.117.156.228 HP-UX Netscape-Enterprise/3.6 SP3 16-Mar-2002 National Police Agency 61.117.156.228 HP-UX Netscape-Enterprise/4.1 13-Mar-2002 National Police Agency 61.117.156.228 HP-UX Netscape-Enterprise/4.1 12-Mar-2002 National Police Agency 61.117.156.228 HP-UX Netscape-Enterprise/3.6 SP3 11-Mar-2002 つまり、狙いを定めたサイトのOSやアプリケーションのアップデートの履歴からシステムの運用実績の長さ、つまり経験の度合いを推し量ることができる。ホームページを立ち上げたばかりで、実績がなければ、それだけ情報セキュリティーが十分ではないかもしれない。【執筆:佐藤隆】── この記事には続きがあります。 全文はScan Security Management本誌をご覧ください。 http://www.ns-research.jp/cgi-bin/ct/p.cgi?ssm01_ssmd
