イベントレポート
JPAAWG 1st General Meeting
「注意喚起しても効かない……」、さくらインターネットから利用者への“お願い”
2018年11月21日 11:50
クラウドホスティングサービス正規利用者のサーバーが迷惑メール送信などのサイバー攻撃の踏み台に悪用される事例について、11月9日に行われた「JPAAWG 1st General Meeting」の一部セッションにて、さくらインターネット株式会社技術本部の山下健一氏が説明した。冒頭では、“プロバイダーからユーザーへのお願い”として、以下の対策を実施するよう呼び掛けていた。
1)パスワードはすべて適切な強度を満たすように設定してほしい
2)なるべく自動アップデートを利用してほしい
3)ファイアウォールを設定すること、ウェブアプリケーションファイアーウォール(WAF)を活用すること
4)持続的な運用または終了方法を考えてほしい
管理者が退職・卒業・他界……適切に管理されないまま攻撃の踏み台に
脆弱性のあるミドルウェアなどを使用した状態では、リフレクションDDoS攻撃や、辞書攻撃を発信する踏み台に利用される危険性があるとして、山下氏は注意を促す。同社で、オープンなmemcachedポートの数やSSL Poodle脆弱性該当ホストの数を調べたところ、公開不適切なサービスがインターネットからアクセス可能になっていることや、適切なアップデートが行われていないままのものが多数確認された。
また、WordPressのREST API脆弱性を悪用した攻撃が確認された2017年2月、ユーザーへ注意喚起を実施し、1カ月後に注意喚起の効果を測定したところ、改ざんされたままのサイトは減少するどころか微増していたことが判明した。
注意喚起が効かない原因としては、管理者がいない(退職・卒業・他界、保守契約が切れた、委託業者が廃業した)、管理の意思がない(インストールだけ試した)、飽きる(個人でブログを開設したもののアフィリエイトが儲からない……)などの理由で適切に管理されていない可能性が考えられるという。過失によって迷惑メールの送信者になってしまうユーザーも多く存在するため、同社ではなるべく早期に異常を認識するノウハウを培いつつ、サービスごとに被害を抑制する施策も行っているという。
しかし、対応にも限界があるため、プロバイダーの施策としてファイアウォールや自動アップデートをデフォルトで有効にせざるを得ない状況を考えつつも、「さくらインターネットに契約するときは、まず最初にファイアウォールを無効にしよう」といった“バッドノウハウ”がインターネット上で普及することを懸念しているという。
報告窓口への連絡は海外からが大半、業務として通報する日本人は少なかった
山下氏は迷惑行為などの報告を受け付ける窓口となるAbuseも担当。Abuseではセキュリティインシデントに関わるものや、商標権、日本のアニメなどに関わる著作権侵害の指摘の連絡が届くが、そのほとんど海外からのものだという。通報元は主に米国・欧州のセキュリティ関係者などで、「日本人で業務として通報する人は非常に少ない」そうだ。
日本の個人が連絡するケースとしては、迷惑メールの苦情や、人格権侵害に関する苦情、就職や転居に影響するということで過去の逮捕情報の削除を求めるものなどがあるという。もしくは、当事者ではない第三者が正義感から違法サイトの削除を要請するものがあるそうだ。
セキュリティインシデントや違法なメールの送信などには事業者として警戒して対応するが、基本的には「通信の秘密」「プライバシー」順守観点から違法サイトの自主検出は困難だという。
「当該サイトが違法かどうかを判断するのは、例えば警察やあるいはそういった方面の法律の専門家などが考えることであって、事業者が個別に判断することは難しい。インターネットホットラインセンターやセーファーインターネット協会の通報窓口、法的な窓口があるので、そういったところに送ってもらえると助かる」と述べた。