プロダクトサービス事業本部 技術顧問
徳丸 浩
前回はパスワード攻撃への対策について説明したが,今回はプラットフォームぜい弱性対策について説明する。
ITproの記事「大規模なWeb改ざんが再び,『50万サイトが被害,偽動画サイトへ誘導』」によると,phpBBという掲示板プログラムの既知のぜい弱性を悪用されて非常に多くのサイトが改ざんの被害を受けた。phpBBのようなアプリケーションも含め,OS(WindowsやUNIX),Webサーバー・ソフト(IIS,Apacheなど),言語処理系やミドルウエア(PHP,Tomcatなど),不特定のユーザーが利用する商用製品やオープンソースのソフトウエアにぜい弱性があり,それを悪用されるという攻撃事例は多い。
phpBBの場合は掲示板アプリケーションのぜい弱性を狙われたわけだが,phpBBの記述にも利用されている言語PHPのぜい弱性が狙われた事例も多い。歴史的には,個別アプリケーションのぜい弱性よりも,むしろ広く流通しているソフトウエア,特にOSなどソフトウエア基盤(プラットフォーム)のぜい弱性を狙われるケースの方が多かった。
代表例が2001年9月に発見されたW32/Nimdaワーム(ウイルス)だ。W32/NimdaはマイクロソフトIISなどのぜい弱性を利用して感染し,Webサイトの勝手な書き換えなどを行う,感染力の非常に強いワームである。W32/Nimdaはウイルスとして有名だが,ぜい弱性の悪用による自動化された攻撃ツールとも見ることができる。
冒頭に紹介したphpBBの事例でも,50万以上のサイトが改ざんの被害を受けていることから,なんらかの自動化ツールが利用されている可能性が高い。
■Webアプリケーションぜい弱性との違い
「カスタムメイドのアプリケーション」のぜい弱性対策と,今回説明するプラットフォームやパッケージソフト,オープンソースソフトウエアなど「流通ソフトウエア」とでは,ぜい弱性対策に対する考え方が異なる。
広く流通しているソフトウエアの場合,開発元やセキュリティの研究機関などが,当該ソフトウエアのぜい弱性を調べて公表するケースが多い。マイクロソフトを例にとると,毎月第2火曜日の翌日にぜい弱性情報や対策パッチを公開している。また,情報処理推進機構(IPA)とJPCERTコーディネーションセンター(JPCERT/CC)が共同で運営しているJVN(Japan Vulnerability Notes)では,日本国内の製品開発者のぜい弱性対応状況を公開している。
このため,流通しているソフトウエアにぜい弱性が見付かった場合は,自社で利用しているシステムにこれら「既知のぜい弱性」が存在するかどうかを探すことが重要な作業になる。これに対してカスタムメイドのアプリケーションの場合には,原則としては自分でぜい弱性を調査しなければならない。このため,ぜい弱性対策の方法は変わってくる。
最大の対策は最新版の利用
プラットフォームのぜい弱性対策としては,以下を行う必要がある。このうち(1)と(2)は必須の対策,(3)は保険的対策である。
(1)製品の最新バージョンを利用する
ぜい弱性はセキュリティ上のバグであるため,対策の基本は,修正版を導入することである。対策版の導入の方法は,ソフトウエアのバージョンアップと,セキュリィティ・パッチの導入の大きく2通りがある。まず,バージョンアップについて説明する。
バージョンアップによりぜい弱性対応を行っているソフトウエアの一例として,Apacheがある。例えば,本稿執筆時点でのApache最新バージョン2.2.8では,以下のぜい弱性が対策されている(図1)。
 |
| 図1●Apache2.2.8で対策されたぜい弱性の一覧 |
最新版をインストールするには,httpd.apache.orgから最新バージョンをダウンロードしてソースからコンパイルすることが基本だが,Windows用やLinux用のバイナリ・インストーラを利用すると簡便である。
