第5回 Web改ざんへの対策とツール(前編)
|
田中 直人
株式会社ネットマークス
コンサルティング部
2001/4/27
| Web改ざんの事例と現状 |
2000年の1月末に、複数の中央省庁などのWebページが不正に改ざんされる事件が起こったのは記憶に新しいところである。1月24日に起こった科学技術庁のWebページ改ざん行為をはじめとして、総務庁、運輸省(編注)といった政府機関やそのほかの公共機関まで、短期間に多数の改ざんを含めた不正アクセスが行われた。
| 編注:いずれも事件当時の旧称。現在は、 ・科学技術庁→文部科学省(旧文部省と統合) ・総務庁→総務省(旧郵政省、自治省と統合) ・運輸省→国土交通省(旧建設省、北海道開発庁、国土庁と統合) に再編された。 |
これらの内容については、さまざまな媒体によって報道されたことから、インターネットの世界にこのような脅威が存在するということが一般に広く知れ渡るとともに、政府機関のインターネットに関するセキュリティレベルの低さも露呈してしまった。
一連の事件はしばらく後に終息したが、これはこのような攻撃が行われなくなったという訳ではない。実際にこれらの事件の後も、金融・大手出版関係のWebページが改ざんされるといった不正アクセスの被害に遭っている。Web改ざんという危険は、決して過去のものではなく、いまなお存在しているリスクだといえる。
しかし、この一連の事件の、政府や自治体、各企業に対する影響は大きい。Web改ざんを含めた不正アクセスという脅威に対して、インターネットに公開するサーバのセキュリティ対策が真剣に考慮されるようになったことは、大きな前進といえよう。
| Web改ざんが行われる背景とその影響 |
Web改ざんが起こる背景には、さまざまな要因があると思われる。実際にWebが改ざんされた多くの組織からは、次のようなコメントが聞かれるのではないだろうか。
- インターネットに公開しているWebサーバには重要な情報を保存していないため、セキュリティ対策を十分に行っていなかった
- 組織内部のローカルネットワークは厳重に保護されているため問題ない
- インターネットサーバのセキュリティ対策を行う十分な予算(時間)がなかった
残念ながら、これらの言葉は事実と思われる。また、一方でこれらの言葉から、セキュリティ対策とは重要なデータ、ネットワーク、システムの保護を目的としていることが想定される。確かに、これらは重要で保護すべきものであるが、いまや問題はそれだけではない。
電子政府、電子商取引というキーワードが示すように、官民を問わず社会的構造が大きく変化してきている中で、各組織は急速に浸透しているネットワーク社会に対応していくことが強く求められている。そして、ネットワーク社会において、セキュリティが重要なポイントとなることは広く認識されているとともに、大きく注目されている。このような社会の流れにおいて、冒頭のようにWeb改ざんが報道機関に大きく取り上げられるリスクがあるということは、重大な意味を持つ。
つまりWebサーバの改ざんによって、その企業・団体はセキュリティに対する姿勢を疑われるだけでなく、それを公表されることによって企業・団体イメージの低下に結びつく可能性があるということだ。これは、特に企業にとっては避けたいところだろう。さらに、Webサーバを利用して商取引を実施している場合には、もっと深刻な被害に見舞われる可能性がある。それがたとえ重要なサーバに対する改ざんでなかったとしても、利用者が不信感を持つことは避けられないからだ。
また不幸にしてWebが改ざんされてしまった場合は、早急に復旧、対策を行う必要がある。なぜならば、改ざんされたWebサーバを利用して、さらに別のサーバに不正アクセスが行われる可能性があるからだ。これを怠ると、機密情報の盗難や基幹システムのダウンといった最悪の事態が発生する危険性もある。ただ単にWeb改ざんだけとして、軽く考えることは禁物である。
| Webの改ざんの目的 |
ここでは、Web改ざんを企図する側を幾つかの種類に分類している。どのような理由があるにせよ、Webサーバ管理者としては、それを阻止する必要があることには違いない。
- 興味本位での改ざん
特に対象となる組織、団体に執着はなく、技術的な好奇心を満たすため、または技術力を顕示するために行う改ざん。いわゆる愉快犯的な行為
- 特定の組織、団体の損害を狙う改ざん
攻撃対象となる組織、団体に損害を与えることを意図した改ざん。単なる個人の恨みによるものから、他者との利害関係に基づくものまで、さまざまな理由が考えられる
- イデオロギー表現のための改ざん
特定の信条、宗教などの表現を目的とした改ざん。攻撃対象となる組織、団体には執着がないが、その目的のために多くの人に閲覧される、または話題となりやすいWebサーバであることが多い。
| Web改ざんの手法 |
Web改ざんの方法としてはさまざまなものがあるが、ここでは主なものを列挙する。
■サーバコンソール上からの改ざん
Webサーバのコンソール上から操作して、直接改ざんを行う方法。この方法は、サーバの物理的なセキュリティ対策が行われていない場合に行われる可能性がある。この手法による損害を防ぐには、管理者以外がWebサーバを操作できないように、Webサーバをサーバルームなどに隔離するといった対策が必要となる。また、Webサーバの作業後に必ずシステムからログアウトすることや、サーバのパスワードは適切なものを設定して、正しく管理することも重要である。
■ファイル転送、仮想コンソールサービスなどによる改ざん
ネットワーク経由で、ファイル転送サービスや仮想コンソールサービスを使用して改ざんを行う方法。FTP、Telnetなどがこれにあたる。これらのコマンドは、ファイル転送操作やコマンドの実行が可能なものである。こういったサービスはWebサーバに対して大きな脅威となるため、通常は外部(インターネットや他組織)からの接続を許さないように通信制御が行われる。
一方、これらのサーバの所属する組織や団体の内部からは、管理上の理由で通信が許可されていることがある。これらの通信を許可することは、内部からの改ざんについてのリスクを保有していることになる。基本的にWeb管理者以外からの通信を制限するとともに、パスワードの管理を厳重に行う必要がある。さらに強い保護を考えるならば、ネットワーク経由での管理を断念して、直接コンソール上からのみ操作を可能にするといった手段も有効である。
■Webコンテンツを利用した改ざん
Webサーバで公開しているコンテンツを不正に利用することによって改ざんされることがある。特にCGIプログラムと呼ばれるコンテンツには、この危険が存在するため必要がない限り使用しないことが望ましい。
CGIとは、Common Gateway Interfaceの略であり、これを利用することでWebサーバとプログラムの間で情報の交換を行うことができる。つまり、Webブラウザで入力された情報をWebサーバで受け取り、それをプログラムに引き渡すことにより、プログラムは入力された情報を元にしたさまざまな計算を実施して、その結果をWebブラウザに表示することができる。
注意する必要があるのは、Webブラウザによって入力された情報に基づいて、プログラムが実行されるということである。これは悪意を持ったユーザーが、さまざまな情報を不正に入力できることを意味する。つまり不正な情報により、予想外のプログラムが実行されてしまう危険性がある。これを避けるには、Webブラウザから入力された情報をそのまま信用することは避けなくてはならない。CGIプログラムによって、不正な情報が含まれていないかどうかを検査した後、実際の処理を実行するようにするのだ。
また、不要なCGIプログラムは削除する必要がある。実際にあった例として、Webサーバプログラムのインストール時に、コンテンツの見本としてCGIプログラムが自動的にインストールされたことがあった。問題となったのは、その自動的にインストールされるCGIプログラムにセキュリティホールが存在していたことだ。こういった例もあることから、CGIプログラムを公開する場合には、十分な注意が必要である。
■Webサービスプログラムを利用した改ざん
Webサーバのプログラムのバグを利用して、不正にプログラムを実行させることによる改ざん方法。その中でも有名な方法として、バッファオーバーフローと呼ばれる攻撃手法が存在する。
これは、ユーザーが入力した文字を処理するバッファ領域に不正なプログラムコードを入力すると、そのバッファを超えたところに存在するプログラムの実行を指し示す部分を上書きして、不正なプログラムコードを指定することにより任意のプログラムを実行する手法である。一般的に攻撃者は、不正なプログラムの実行の結果、対象となるWebサーバ上での管理者権限を取得するため、以後そのWebサーバ上のすべてのコンテンツを改ざんすることが可能になる。
Webサービスプログラム自体が、上記のバッファオーバーフローの不具合を持つ場合には、開発元などから提供されるパッチを適用するか、ほかのWebサービスプログラムに変更するしか改ざんを防止する方法はない。
この手法の脅威は、ファイアウォールを用いても攻撃を防ぐことが難しいことにある。
■DNSを使用した改ざん
この方法は、WebサーバのIPアドレスを管理しているDNSサーバの情報を改ざんすることにより、結果的にWebサーバのデータを改ざんしたのと同等の結果を得る方法である。DNSサーバの改ざんが、Webサーバの改ざんと同一の結果を生む理由は以下のとおりである。
Webページを閲覧する場合、URLと呼ばれる「http://www.netmarks.co.jp/」という形式の文字を入力するのが一般的だ。ところが、実際にWebサーバとクライアントの間で行われるネットワーク上の通信は、IPアドレスを元にしている。従って、上記の例でいえば、www.netmarks.co.jpと呼ばれる部分(ホスト名)は、実際にWebによる通信が行われる前に、DNSサーバを利用してIPアドレスに変換される。
そのDNSサーバの情報を改ざんすることにより、DNSサーバが返答するIPアドレスをまったく別のサーバにしてしまうことができる。結果として、Webサーバを閲覧した人に本来とは異なるコンテンツを見せることが可能となる。通常インターネットを利用しているユーザーは、閲覧しているWebサーバのIPアドレスを意識することはないため、別のWebサーバを閲覧していることに気付くのは困難と想定される。
 |
「連載 Web改ざんの現状と対策」 |
出典:Scan Security Handbook Vol.5
2000/10/11発行
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
