 |
 |
記事検索 |
イベントレポート |
|
||||||||||
|
||||||||||
|
||||||||||
|
||||||||||
|
||||||||||
|
「人気サイトにはサイバーテロを防ぐ責任がある」ラック西本取締役 |
||||||||||
|
||||||||||
|
|
||||||||||
|
||||||||||
|
||||||||||
|
||||||||||
|
||||||||||
|
||||||||||
|
||||||||||
|
「アクセスが集中するサイトがサイバーテロに遭うと被害が拡大する。人気サイトにはテロをやらせないように対策を行なう責任がある」。企業向けのウイルス対策をテーマにした「Virus Conference for Enterprise 2005」で、基調講演に立ったラックの西本逸郎取締役執行役員(SNS事業本部長)が指摘した。 ● SQLインジェクションで倒産の危険も
OSが要塞化されると、2年ほど前からは設定ミスを悪用するケースが増えてきた。例えば、Webサーバーのパスワードをデフォルトのままにするなど「うかつなミス」を悪用するケースだ。ラックでは、こうしたケアレスミスなどをつぶす侵入検査やサーバー検査も行なっているという。 最近では、SQLインジェクションなどが増加。このほか、WindowsやInternet Explorerに比べてセキュリティの注目度が低いOfficeや、マイクロソフト以外のベンダーでもバックアップソフトなど一見インターネットに関係ないソフトの脆弱性を悪用した不正アクセスも増えつつある。 西本氏が特に注目しているのは、Webアプリの欠陥を悪用したSQLインジェクションだ。「SQLインジェクションは必ずしも最新の手法ではない。古くから指摘されていたが、認知度が低かった。また、実際に悪用する泥棒もいなかった」という。 こうしたSQLインジェクションの恐ろしさは、侵入先の“本丸”であるデータベースに直接侵入できてしまうことだ。通常だとWebサイトに設置しているWebアプリのプログラムは、アクセス制御を経てデータベースにアクセスする。しかし、SQLインジェクションでデータベースに直接SQLを注入できてしまう。西本氏は「重要なところに爆弾を持ち込むようなものだ」と指摘する。 Webアプリは、セミナーの募集や採用窓口などで利用されているケースが多い。少ない会社でも100本以上、多い会社では1万本以上のプログラムがWebサイトで動いているという。プログラムの質も玉石混交で、セキュリティを意識しているもの、意識していないものさまざまだ。「ラックがセキュリティ上の欠陥を指摘しても理解されない場合もある。『こういうことが行なわれてしまう恐れがあります』と伝えても、『誰がそういうことをするのか』と言われてしまう」。 復旧に大きな負荷がかかるのも特徴だ。例えば何らかの攻撃でサーバーがダウンした場合は、再起動すれば復旧できるが、SQLインジェクションの場合は、データベースに直接侵入されてしまうので、データの改竄などがなかったかクリーニングする必要がある。「そのためITに関わる簿外債務が増えて、SQLインジェクションによる問題が発生するとそれだけで倒産してしまうこともある」という。 ● 改竄されていなくとも侵入されている恐れ ラックでセキュリティに関する調査したところ、SQLインジェクションなどの対策がしっかり施されているWebサイトはは33%に止まった。67%でクロスサイトスクリプティング、37%でSQLインジェクションの恐れがあるという。SQLインジェクションであれば、サイトの改竄が行なわれて初めて気が付く。つまり、サイトが改竄されていなければ、データベースへの侵入に気付かず、事実上データベースの情報が取り放題になってしまう可能性がある。西本氏は「何も改竄されていないから大丈夫という管理者は多いが、セキュリティ調査後に不備が見つかれば、改めてサイトの点検を行ない、侵入の形跡を確かめる必要がある」と述べた。 犯人らはSQLインジェクションを行なうことで何を企んでいるのだろうか。西本氏は「スパイウェアを仕込むこと」「個人情報を搾取すること」「侵入手段として利用すること」の3点を挙げた。 このほか、ボットネットやスパイウェアについても言及。「ボットネットは、攻撃者の命令に従って動作する傭兵軍団だ。ボットネットの貸し借りなども行なわれているため、不正アクセスのインフラと見たほうがいい。スパイウェアも巧妙化している。例えば、迷惑メールに『ラックの監視状況がおかしい』という文面があれば、思わずクリックして、スパイウェアがインストールされてしまうこともあるかもしれない。ウイルス対策ソフトをかいくぐるスパイウェアが増えているので、対策ソフトをインストールしているからといって過信は禁物だ」という。 また、スパイウェアには必ずしも「悪意のある」とは言い切れないプログラムもある。こうした“グレー”のプログラムを西本氏は「迷惑プログラム」と定義。「グレーだから、大半のウイルス対策ソフトの初期設定では駆除するようになっていない。フリーウェアについている迷惑プログラムは同意書までもある。わざと対策ソフトに駆除させて、訴訟に持ち込もうという迷惑プログラムもあるかもしれない」と指摘した。 ● 6段備えの“本物”のファイアウォール、保険もかけよう こうした問題の対策に必要な判断基準が明確でないことも現状の課題だ。西本氏は、公的な基準として「情報処理推進機構(IPA)が指摘する項目が判断基準となるのではないか」と提案した。なお、公開されているWebサイトにおいて西本氏が強く勧める対策は「ログの設定」「エラーメッセージ出力」「DBアカウント権限」をすぐに確認すること。特にエラーメッセージの表示によっては、特定の情報が類推できるケースもあるという。また、自社開発のWebアプリを確認し、すでに不正アクセスされた痕跡がないかをログで確認することも大切だ。当然だが、修正プログラムの適用や適切な設定、パスワード管理の徹底などは継続して実施することも重要になる。 さらに、「今こそ“本物”のファイアウォールが必要だ」と強調。西本氏の言う本物のファイアウォールとは、従来のファイアウォールを1段目とすると、2段目に侵入を防ぐIPSの機能を搭載したファイアウォール、3段目にWebアプリを守るファイアウォール、4段目に不正コンテンツのファイアウォール、5段目に有人監視システムを配するというもの。これらに加え、従来のファイアウォールの前、つまり0段目にDoS攻撃を防ぐMitigation(緩和式)ファイアウォールを設置し、全6段備えのファイアウォール全体に保険をかけることを勧めるという。 企業内のイントラネットについては、カカクコム事件ではNOD32だけが当初のウイルス検知に成功したことを引用し、「クライアントPCにおいて検出・駆除を行なうウイルス対策ソフトに完全なものはない」と指摘。まずは、「ファイアウォールからの外部への通信は全て禁止すること」「どうしても通信する場合は、プロキシを通じて内容を精査すること」で、最悪ウイルスに感染した場合であっても情報の流出を防ぐことができると指摘した。 ● 人気サイトにもサイバーテロ被害を防ぐ責任 ラックのセキュリティ関連の調査では、2004年まではSQLインジェクションは0件だった。それが2005年にはSQLインジェクションが8割、ボットネットが2割を占めたという。犯人像も従来の「自己顕示欲が強い愉快犯」から直接的に個人情報を詐取するような金銭目的の組織的犯行に変わってきた。「これまでは愉快犯だったから、『サイトが改竄されても直せばいい』で終了していた。しかし、インターネットは良くも悪くもお遊びから真剣なビジネスの場になり、犯罪も真剣勝負になった。本気で対策しないと刈り取られてしまう。みんながパッチを適用しているのに、1人だけ適用していなければ狙われるのは当然だ。」 また、特定のサイトを妨害しようとする場合、これまでは「F5アタック」のようなDoS攻撃が多かったが、今後はそのサイトにウイルスを仕込んだり、個人情報を流出させたりして、閉鎖に追い込む手法が多くなると予想。「アクセスの多いサイトは、仕込まれたウイルスの被害も拡大しやすい。人気サイトもサイバーテロの被害を防ぐために、対策を講じる責任がある」という。また、検索エンジンの人気キーワードにウイルスを仕込む手口などにも注意が必要だと指摘した。 西本氏は最後に、「インターネットがこれだけ普及した今、サイバーテロやサイバー犯罪は他人事ではなくなった。これまで企業のセキュリティというと損益の“損”の部分で行なっていたが、今後は資産や会社価値の維持などを目的にするべきだ。設計当初から考えられたセキュリティ対策であれば、結果的にコスト削減にもつながるだろう」とコメントした。 関連情報 ■URL ラック http://www.lac.co.jp/ ■関連記事 ・ OZmallの不正アクセス事件、手口は「SQLインジェクション」(2005/06/13) ・ 「過失はない」としながらも不正アクセスの詳細の言及は避ける~カカクコム(2005/05/25)
( 鷹木 創 )
- ページの先頭へ-
|
