2015年6月24日水曜日

ウェブサイトに侵入された大学のリリースに見る侵入対策への誤解

ここ数日大学等のウェブサイトに対する侵入事件の報道やプレスリリースが続いています。
これらを読んで気になったことがあります。大学側が一定のセキュリティ対策を施していたが、それでも侵入されてしまったような論調だからです。まずは早稲田大学の事例ですが…
3.不正侵入の原因について
スケジュール管理サーバにはアンチウィルスソフトウェアをインストールし、最新のパターンファイルを装備していました。しかし、当該サーバのOSのセキュリティパッチは最新のものではなく、また当該サーバに対しファイアウォールによる監視が行えていなかったため、不正侵入を防御できませんでした。現在は、OSのセキュリティパッチを最新のものに更新し、ファイアウォールの監視対象として防御しています。

スケジュール管理ウェブサイトの改ざんについて – 早稲田より引用
アンチウイルスソフトの導入・運用は正しく行っていたが、OS等のパッチは適用されていなかったと書いてあります。これでは、対策の優先順位が逆です。
まず、ウェブサイトへの侵入経路としては以下の2種類があります。
  • サーバーソフトの脆弱性(セキュリティ上の弱点)をつかれる
  • サーバーの認証を突破される
このため、脆弱性に対するパッチを適用して、脆弱性がない状態を作り出すことが重要です。
ウイルス対策ソフト(アンチウイルス)は、脆弱性をついた攻撃について一定の効果がありますが、ウイルス対策ソフトというものは、不正なファイルを対象としたソリューションです。公開ウェブサイトに不正なファイルが送り込まれたという状況は、今回のようなケースでは、外部からの「改ざん」により不正ファイルが作られたことになり、すなわち攻撃を受けてしまった後の話です。それでも水際でストップできればよいのですが、改ざんにより送り込まれるファイルはウイルスとは限らず、例えば単にHTMLが書き換えられ特定の文言が追加されたようなケースではウイルス対策ソフトでは検知できません。
一方、パッチの適用の方は、ウェブサイトへの侵入経路そのものを断つわけですから、非常に効果的です。

次に徳島大学の件ですが、報道の以下の部分が気になりました。
このサーバーは2013年から使用しており、少なくとも年に1度はパスワードを変更していた。

サイバー攻撃:徳島大電子会議システムサーバー乗っ取り - 毎日新聞より引用
年1回のパスワード定期的変更をしていたのに乗っ取りされてしまった、と読めます。しかし、パスワードの定期的変更の効果は限定的と考えられます。

まず、サーバーのパスワードを変更する意味ですが、何らかの理由で「パスワードを知っているべきでない人物がパスワードを知っている」状況が想定される場合に、パスワードを変更することにより、当該のパスワードを無効化するということです。そしてその典型的なケースは、サーバーの管理者が退職、異動によりサーバー管理者でなくなったケースです。この場合、元サーバー管理者がパスワードを悪用するケースに備えて、パスワードを変更する必要があります。

モデル的なケースとして、毎年4月1日にサーバー管理者が必ず交代し、それ以外ではサーバー管理者の異動はないとします。この場合は、一年に一度、4月1日にパスワードを変更することに大きな意味があります。元サーバー管理者の知っているパスワードを無効化できるからです。

しかし、実際には上記のような規則的な異動はまれで、毎年管理者が移動するわけではないとか、4月以外に管理者が異動になる場合もあるでしょう。したがって、一年に一度ではなく、サーバー管理者の異動のタイミングで遅滞なくパスワードを変更する運用がベストです。

さて、パスワードを知っているべきでない人間がパスワードを知っている状況は、サーバー管理者の異動だけではありません。外部の攻撃者が何らかの方法、たとえばサーバー管理者のパソコンにウイルスを感染させることにより、パスワードを盗み出す状況(いわゆるガンブラーや標的型攻撃)や、攻撃者が管理者にフィッシング攻撃をしかける状況(事例)も考えられます。この場合、攻撃者がなんらかの理由でパスワード入手後すぐには悪用せず、しばらくたってから攻撃する場合、パスワードの定期的変更により被害にあわない可能性があります。とはいえ、「攻撃者はパスワード入手後しばらくたってから悪用する」ことをあてにするわけにはいかないので、パスワードの定期的変更は、副次的な対策と言えます。

それでは、サーバーの認証突破に対する備えは何をすればよいでしょうか。それには、以下が有効です。
  • 外部(インターネット)からは管理用ソフトウェア(ssh、管理コンソール)に接続できないようにファイアウォール等を設定する
  • 鍵認証等、強固な認証方式を導入する
  • 二段階認証を導入する
  • 管理者のIDとパスワードを共用せず、個別のIDとパスワードを設定する
  • 管理者の異動の際は遅滞なくIDを無効化するか、パスワードを変更する
ウイルス対策ソフトの導入とパスワードの定期的変更は、もっとも有名なセキュリティ対策ではありますが、ウェブサイトの侵入対策という面では効果は限定的であり、すみやかなパッチ適用と認証の強化が重要です。そして、追加のセキュリティ対策としては、WAFや改ざん検知システムの導入を検討するとよいでしょう。

【HASHコンサルティング広告】
HASHコンサルティング株式会社は、セキュリティエンジニアを募集しています。
興味のある方は、twitterfacebookのメッセージ、あるいは問い合わせページからお問い合わせください。


0 件のコメント:

コメントを投稿

フォロワー