kigoulab みなさんは、お使いのパソコンにセキュリティソフト(ウイルス対策ソフト)をインストールしていますか?そのソフトはちゃんとウイルス定義を更新していますか?サイトに接続するFTPのパスワードを更新したのはいつのことでしょう?今日は、ご自分のパソコンを守るのではなく、公開しているサーバーをどのように守ったら良いのか、実話を挟みながら考えて見たいと思います。
ガンブラーの恐怖
記憶に新しい人もいるかとおもいますが、2009年から2010年頃、FTPアカウントを乗っ取る新種のウイルスが猛威を振るいました。弊社のお客様にも被害があり、その駆除と対策に翻弄された記憶があります。そのお客様の場合、次のような経緯で感染し被害に合われました。
おそらく、仕事関連のサイトで、感染しているPDFファイルをダウンロード。アクロバットリーダーのセキュリティアップデートは恐らくしてなかった(情報が伝わってなかった)と思われます。そこからガンブラーに感染。FTPソフトのFFFTPからFTPアカウント情報が流失。その後、サイトの全ページに難読化されたJavaScriptを埋め込まれました。恐らく新たな感染者を増やす仕組みです。さらにカナダの銀行のフィッシングサイトもアップロードされていました。
気がついたのは、お客様のお客様から、サイトにアクセスしようとすると、危険だからアクセスしないで下さい。とGoogleから表示がされるとの連絡があったからでした。すでにその段階ではGoogleは感染サイトとして把握していたようです。
それから弊社に連絡があり、サイトの全ページにJavaScriptが埋め込まれているのを確認しました、まずは、フィッシングサイトを削除し、サイトの全データーを、弊社のバックアップデーターと入れ替えました。その上で、まずはFTPアカウントを変更して頂くようにお願いしました。
その上で、パソコンはいったん初期化(リカバリー)し、新しいウイルス対策ソフトをいれ、新しいPDFリーダーをインストールして、いったん事なきを得ました。
ガンブラーは、その後、サーバー会社の対策も進み、収束の徒をたどりますが、いつ同様のウイルスが作られ、猛威を振るうか分かりません。セキュリティソフトのアップデートと、FTPパスワードの定期的な更新を習慣づける必要があります。
そもそもFTPは、アクセス情報を平文で送る仕組みです。もうこれでは防げない時代です。
- FTPソフトにパスワードを保存しない
- FTPを使わず、SFTPやFTPSで運用する(アクセス情報の暗号化)
- FTPの運用を行うパソコンを限定して、常に最新のセキュリティ対策を行う
- 日常的な更新はCMSを活用して、FTPはメンテナンスのみに使用する
- 固定IPアドレスを導入して、そのアドレスのみアクセスできるようにする
- Web改ざん検知サービスなどを利用して、サイトを監視する
といった運用をオススメします。
ソフトウエアの脆弱性情報は、IPAの重要なセキュリティ情報一覧に掲載されていますので、たまに見ておくとよいでしょう。Office2007やVistaのサポート終了にともなう、アナウンスも出ていますので、お持ちのかたはチェックしておくと良いでしょう。
サーバーのセキュリティを考える
ガンブラーは、ローカルのパソコンを経由して攻撃してくるタイプのウイルスでしたが、パソコンに限らず、サーバーも常時直接攻撃を受けています。ちょっとサーバーの運用をしたことのある人なら知っていると思いますが、アクセスログの攻撃のあと(防御の後)たるや、すさまじいモノがあります。
僕も10年以上まえ、実験用のサーバーを、新たにインストールして、セキュリティ設定等は明日のしようと、夜そのままにして退社したことがあります。その翌日、某電力会社から電話がかかってきて、「お宅のサーバーから攻撃を受けているので、すぐに止めてください」との電話が。とりあえずネットワークケーブルを抜き取り、平謝りに謝りました。攻撃元はルーマニアでした。インストールして1日しか経っていないサーバーを見つけて、乗っ取り、攻撃してきたわけです。ちょっとした穴があったらすぐに攻撃されます。その脆弱性のあるサーバーを見つける速度たるもの想像を絶します。
昨今のLinuxのディストリビューションはインストールした段階である程度のセキュリティ設定がされているようなので、大丈夫だと思いたいですが、当時のバージョンは全てが開放されている状態だったらしく、無知識というものは恐ろしいものだと思いました。とりあえずサーバーをインストールするなり、借りるなりしたら、もろもろの設定の前に、すべての通信を遮断してから、必要なところを順番に空けていくというのが鉄則です。ミッションクリティカルな案件であればファイヤーウォールやIDS/IPS(不正侵入検知/防御)などの導入も検討しましょう。
CMS時代のセキュリティとは
セキュリティ対策が必要なのはサーバーだけではありません。ミドルウエアーとなるDBやCMSにも、定期的にセキュリティアップデートがあります。ほっておくとそこから侵入され、サイトの改ざんにもつながりかねません。CMSによっては、自動アップデート機能がありますが、完璧なものではありません。本体のアップデートにプラグインがついて行けず、管理画面がエラーメッセージだらけとはよくある風景です。テスト環境を用意してそちらでアップデートしてから対応するなど、構築した業者と相談しておく必要があります。
既製品のCMSだけでなく、当然、独自にフルスクラッチで開発してもらったアプリにも脆弱性がある可能性があります。
- SQLインジェクション
- クロスサイト・スクリプティング
- CSRF(クロスサイト・リクエスト・フォージェリ)
- バッファオーバーフロー
- クリックジャッキング
などなど
ここでは個別に解説はしませんが、攻撃手段は毎年発明され、被害がでていまます。どういうものか興味がある方は、IPAの「安全なウェブサイトの作り方」ページにある、同名のPDFが下にありますので、こちらを参考にして下さい。基本初心者の技術者向けに書かれたモノですが、平易な文章で書かれているので、大体どういう脅威なのかがわかります。
CMSや、独自に開発したシステムがこれらの脅威にたいして対策されているのは当然として、それでもまだみつかったばかりの脅威に対しても対抗する手段として、”WAF”(ワフ:Web Application Firewall)と言うモノがあります。通常のファイヤーウォールが、通信ポート単位でのセキュリティとすれば、WAFは、コンテンツやWebアプリケーションまでを監視し防御してくれる仕組みです。前段ででてきたガンブラーのような攻撃もブロックできます。CMSでの運用が本格的になって、プロパイダーによってはオプションサービスで借りることができますので、検討してみるとよいでしょう。
また、ミッションクリティカルなサイトでは、CMSサーバーは公開せずローカルで運用し、コンテンツのみ更新毎に転送して、公開サーバーで公開するなど、アプリケーションを外部にさらさない運用も考えられます。静的コンテンツ生成型のCMSだけが可能な方法ですが、検討してみるとよいでしょう。
まとめ
事例を挟んで解説してきましたが、クライアントパソコン、サーバーともセキュリティ対策をしっかり行うことが、お客様に迷惑をかけないサイト運営につながる事がわかりました。どちらか一方だけのセキュリティ対策ではダメなのです。
日々、セキュリティ情報に耳を傾けて、適切なセキュリティアップデートを行い、安全なサイト運営となるよう心がけましょう。IPAの情報セキュリティのページは、情報が充実しているので、オススメです。
(担当:小山智久)