これらを読んで気になったことがあります。大学側が一定のセキュリティ対策を施していたが、それでも侵入されてしまったような論調だからです。まずは早稲田大学の事例ですが…
3.不正侵入の原因についてアンチウイルスソフトの導入・運用は正しく行っていたが、OS等のパッチは適用されていなかったと書いてあります。これでは、対策の優先順位が逆です。
スケジュール管理サーバにはアンチウィルスソフトウェアをインストールし、最新のパターンファイルを装備していました。しかし、当該サーバのOSのセキュリティパッチは最新のものではなく、また当該サーバに対しファイアウォールによる監視が行えていなかったため、不正侵入を防御できませんでした。現在は、OSのセキュリティパッチを最新のものに更新し、ファイアウォールの監視対象として防御しています。
スケジュール管理ウェブサイトの改ざんについて – 早稲田より引用
まず、ウェブサイトへの侵入経路としては以下の2種類があります。
- サーバーソフトの脆弱性(セキュリティ上の弱点)をつかれる
- サーバーの認証を突破される
ウイルス対策ソフト(アンチウイルス)は、脆弱性をついた攻撃について一定の効果がありますが、ウイルス対策ソフトというものは、不正なファイルを対象としたソリューションです。公開ウェブサイトに不正なファイルが送り込まれたという状況は、今回のようなケースでは、外部からの「改ざん」により不正ファイルが作られたことになり、すなわち攻撃を受けてしまった後の話です。それでも水際でストップできればよいのですが、改ざんにより送り込まれるファイルはウイルスとは限らず、例えば単にHTMLが書き換えられ特定の文言が追加されたようなケースではウイルス対策ソフトでは検知できません。
一方、パッチの適用の方は、ウェブサイトへの侵入経路そのものを断つわけですから、非常に効果的です。
次に徳島大学の件ですが、報道の以下の部分が気になりました。
このサーバーは2013年から使用しており、少なくとも年に1度はパスワードを変更していた。年1回のパスワード定期的変更をしていたのに乗っ取りされてしまった、と読めます。しかし、パスワードの定期的変更の効果は限定的と考えられます。
サイバー攻撃:徳島大電子会議システムサーバー乗っ取り - 毎日新聞より引用
まず、サーバーのパスワードを変更する意味ですが、何らかの理由で「パスワードを知っているべきでない人物がパスワードを知っている」状況が想定される場合に、パスワードを変更することにより、当該のパスワードを無効化するということです。そしてその典型的なケースは、サーバーの管理者が退職、異動によりサーバー管理者でなくなったケースです。この場合、元サーバー管理者がパスワードを悪用するケースに備えて、パスワードを変更する必要があります。
モデル的なケースとして、毎年4月1日にサーバー管理者が必ず交代し、それ以外ではサーバー管理者の異動はないとします。この場合は、一年に一度、4月1日にパスワードを変更することに大きな意味があります。元サーバー管理者の知っているパスワードを無効化できるからです。
しかし、実際には上記のような規則的な異動はまれで、毎年管理者が移動するわけではないとか、4月以外に管理者が異動になる場合もあるでしょう。したがって、一年に一度ではなく、サーバー管理者の異動のタイミングで遅滞なくパスワードを変更する運用がベストです。
さて、パスワードを知っているべきでない人間がパスワードを知っている状況は、サーバー管理者の異動だけではありません。外部の攻撃者が何らかの方法、たとえばサーバー管理者のパソコンにウイルスを感染させることにより、パスワードを盗み出す状況(いわゆるガンブラーや標的型攻撃)や、攻撃者が管理者にフィッシング攻撃をしかける状況(事例)も考えられます。この場合、攻撃者がなんらかの理由でパスワード入手後すぐには悪用せず、しばらくたってから攻撃する場合、パスワードの定期的変更により被害にあわない可能性があります。とはいえ、「攻撃者はパスワード入手後しばらくたってから悪用する」ことをあてにするわけにはいかないので、パスワードの定期的変更は、副次的な対策と言えます。
それでは、サーバーの認証突破に対する備えは何をすればよいでしょうか。それには、以下が有効です。
- 外部(インターネット)からは管理用ソフトウェア(ssh、管理コンソール)に接続できないようにファイアウォール等を設定する
- 鍵認証等、強固な認証方式を導入する
- 二段階認証を導入する
- 管理者のIDとパスワードを共用せず、個別のIDとパスワードを設定する
- 管理者の異動の際は遅滞なくIDを無効化するか、パスワードを変更する
【HASHコンサルティング広告】
HASHコンサルティング株式会社は、セキュリティエンジニアを募集しています。
興味のある方は、twitterやfacebookのメッセージ、あるいは問い合わせページからお問い合わせください。
0 件のコメント:
コメントを投稿