ファーストサーバは、2003年11月に発覚した社団法人コンピュータソフトウェア協会(ACCS)のWebサイトに対する不正アクセス事件に関する調査結果を発表した。
事件の経緯は、京都市在住の京大研究員(当時)の男性が、ACCSが運営するサイト「ASK ACCS」のCGIプログラムの脆弱性を利用し、同サイトに寄せられたユーザーの個人情報約1,200件を不正に入手したというもの。さらに、この男性は2003年11月8日に都内で行なわれたセキュリティ関連イベント「A.D.2003」において個人情報の入手方法を公開、入手した個人情報の一部を発表していた。
「ASK ACCS」のサイトでは、ファーストサーバのレンタルサーバーを利用していた。ファーストサーバは、これまで「刑事裁判が進行中である関係から、情報公開を極力避けていた」。しかし、「裁判に影響を及ぼさない範囲で事実関係を公表することが、当社のユーザーにとって、さらにはインターネットをビジネス活用されているすべてのユーザーの利益に資する」と判断し、事実関係や対策などについて発表することになったという。
● ファーストサーバは、2002年12月に脆弱性を認識
今回の事件では、CGIプログラムにより自動生成されたログファイルによって個人情報が漏洩した。発表では、このCGIプログラムに関する脆弱性の判明時期などが明らかにされた。
発表によれば2002年12月には、当時提供していたユーザー向けCGI(旧標準CGI)の一部に不正アクセスの原因となる脆弱性が存在していることが判明。直ちに対策を施したCGIを準備し、旧標準CGIを上書きした。しかし、ファーストサーバでは旧標準CGIのソースコードを公開しており、一部のユーザーは自らソースコードを書き換えたCGI(カスタマイズCGI)を使用していた。このカスタマイズCGIを上書きして修正すると正常な動作を保証できないため、脆弱性対策を施したCGIで強制的に上書きすることができなかったという。
2003年3月には、ユーザーによるソースの改変ができない仕組みの新型CGI(新標準CGI)が完成。旧標準CGIがサポート外になることをユーザーにアナウンスしつつ、新標準CGIへの移行を案内した。なお、この時点では旧標準CGIの脆弱性は明らかにしていない。ファーストサーバでは、「移行が完了する前に脆弱性を公開してしまうと、ユーザーに大きなリスクを発生させることになるため、脆弱性の公開は控えた」としている。
不正アクセス事件が発生した2003年11月。ファーストサーバでは同月9日に、不正アクセスの疑いを認知し、独自に調査を開始した。また、同社ユーザー企業2万社のWebサイトへの攻撃を危惧し、各サイトに防衛措置を実施。具体的には、旧標準CGIをサーバー上に復活させたユーザーや、依然として旧標準CGIの使用を続けるユーザーに対して危険性を通知し、対策としてCGIの書き換えも行なった。
また、2002年12月当時には対策を施したCGIへの書き換えを行なわなかったカスタマイズCGIについても、事態の緊急性を鑑み、ファーストサーバがプログラムソースの書き換え支援を行なうなど脆弱性を除去する作業を実施。さらにユーザーに対して、新標準CGIへの移行を強く推奨した。2004年2月にはカスタマイズCGIの脆弱性除去作業を完了したとしている。
● ASK ACCSのCGIを旧標準CGIと誤認
事件が発生したASK ACCSのサイトについては、2004年1月に捜査当局から旧標準CGIが動作していたことを提示され、ファーストサーバ自身の調査により当該CGIが旧標準CGIであることを確認したという。
2002年12月から旧標準CGIの上書きを進めていたファーストサーバだが、ASK ACCSのCGIには上書きを施していなかった。その原因としては、「CGI上書き作業の際、当該CGIが旧標準CGIであるにも関わらず、カスタマイズCGIと誤認し、上書きを実施していなかった」ことが判明した。
今回の事件では、サーバー内に蓄積されたログファイルが不正アクセス対象となったが、「旧標準CGIでは個人情報や質問などの送信を受けたときに、ログファイルを自動的に生成する。しかし、当社では旧標準CGIがこのような機能を有していることをユーザーには説明していなかった」としている。
● 今後は適宜情報を公開する~ファーストサーバ
ファーストサーバでは脆弱性の公開時期について、「新標準CGIへの移行完了前に脆弱性を公開してしまうと、ユーザーに大きなリスクを発生させることになるため、脆弱性の公開は控えた」が、「今回の事件を受け、当社のポリシーが必ずしも最善の策とはならないことを認識した」という。今後は、「セキュリティ対策を施すことのできる新標準CGIの頒布が進んでいることも考え合わせ、適宜、情報の公開をするつもりだ」としている。
関連情報
■URL
ニュースリリース(ファーストサーバ、PDF)
http://www.firstserver.co.jp/pdf/news041015.pdf
ニュースリリース(ACCS)
http://www.askaccs.ne.jp/houkoku12.html
■関連記事
・ レンタルサーバー会社の安全性を認証する第三者機関を~ACCS久保田理事(2004/09/30)
・ ACCSとoffice氏が和解~掲示板の監視義務を課す仮処分申請で(2004/06/08)
・ A.D.200X実行委員会、ACCS個人情報漏洩問題について総括を発表(2004/04/12)
・ ACCSの個人情報漏えい問題、京大研究員を不正アクセス禁止法違反で逮捕(2004/02/04)
・ ACCSのWebサイトに個人情報の漏えいにつながるセキュリティホール(2003/11/12)
( 鷹木 創 )
2004/10/18 22:47
- ページの先頭へ-
|