クロスメディア研究会の7月tech Seminarでは、Webセキュリティをテーマに、基礎知識や対策、具体的な攻撃事例の紹介を通じて、Webサイトを構築・運営する立場の方が留意すべき内容を身につけていただくことを目的として開催された。その中で情報処理推進機構(IPA)セキュリティセンターの若居氏よりWebサイトを巡るセキュリティ動向についてお話いただいたので、その一部を紹介する。
■「見えない化」が進んだ2007年
IPAでは、毎年出版しているセキュリティ白書の一部として「情報セキュリティ10大脅威」というものを公表している。2008年度版白書は2007年度に世間でどのようなことが脅威であったのかということを、有識者を集めて検討し、その結果を取りまとめたものである。
2007年の特徴を一言で言うと、脅威がだんだん見えなくなってきた。つまり、「見えない化」がますます進んだという言葉で表される。以前は被害が分かりやすかった。特に10年以上前、あるいは5年前のセキュリティ対策は、脅威も何か攻撃が起きてから分かり、分かったところから気が付いて対策をするといったものが大体のトレンドだった。 それが最近、特にここ数年は、被害が見えない形になっている部分が多くなってきている。脅威自体も、まず単体では使われない。幾つもの脅威を組合わせて利用されることが一般的になっている。例えばWebサイトにアクセスしたらウイルスに感染させられる、そのウイルス経由でボットプログラムを仕込まれる、それを経由してまた別の悪事に使われるといったふうに、さまざまなものが絡み合っていて、一概にこれが脅威だからこれを防げばいいというものではなくなってきている。 そのため、単体でセキュリティ対策をおこなえばOKというものではなく、また新しい脅威も出てきているので、全体として、複合的かつ継続的な対策、いわゆるPDCAサイクルが求められている。
■基本対策で十分防御可能にも関わらず、減らないセキュリティ被害
ユーザにおけるセキュリティ被害の傾向としては、実際に不正アクセスされたという被害届出の件数自体はここ数年減少している。しかし、届出の中で実際に被害に遭った割合はむしろ増えている。被害件数としてはほとんど変わらなくなっている。 これは、被害が目に見えなくなったということかもしれないし、あるいは単純に、被害もないのにIPAに届け出るのもどうかという心理が働いたせいかもしれない。その辺りの分析はまだできていないが、被害件数としては相変わらず多く、一番多いのがファイルの書き換え、そしてWebページ改竄といったところが主な被害の届出である。
原因としてもっとも多いのがIDとパスワード管理の不備である。よくあるのは、簡単なパスワードを付けていたら破られてしまったり、アカウントとパスワードが同じだったというものもある。 また、古いバージョンやパッチを導入していなかったために攻撃されてしまったというものもあるし、DoS攻撃やその他諸々のものも16%程度ある。ただ、被害のほうはわりと分かりやすく出てくるが、原因は不明のところが半分以上ある。被害は分かるが、一体どこから来たのか、分析が難しくなっているということもあるし、手口が巧妙化しているので、1つの原因をたぐれなくなってきているというところもある。 不正アクセスで狙われるのは特別なサイトではない。サイトということではなく、単純にWebサーバが上がっていれば、SQLサーバが上がっていれば、あるいはネットワークにつないでいれば、そうすると攻撃される。それくらい当たり前に来ていると思ってもらいたい。
特に狙われるのが、既知の古い脆弱性である。最近はWindows他、一般の製品やサーバでも大分脆弱性対策が進んできて、ぱっと見て利用しやすい脆弱性は減ってきている。しかし、多少昔のもの、例えば3年前、5年前の製品、OSに対してパッチを当てずに使っていると、昔の利用されやすい、攻撃者にとって都合のいい脆弱性を利用されてしまうことがある。 また、パスワードが弱い、推測されやすい、辞書に載っているそのままである、こういったことをされていると、それだけで破られてしまうことがある。特にSSH、セキュアシェルなどは、普通の人のところにも、SSHのポートをオープンにしていたら数千件、数万件単位でアクセスが来ているはずである。いずれも、基本的な対策で十分防御可能だが、こういうところを怠っている人が多いというところで被害が増えている。
被害内容として目立ってきたのは、踏み台として悪用されることである。前述にある脅威の相関図にもあったが、最近は攻撃してそれでお終いというものでもない。攻撃した先のWebサイト、Webサーバ、あるいは一般ユーザのコンピュータをさらに踏み台として利用して、そしてまた別のところを攻撃しようとする。 また攻撃を行う人たちがだんだんとプロ化している。
(詳細はクロスメディア研究会会報『VEHICLE』233号に掲載予定・2008年9月)
2008/10/06 00:00:00