Apache Webサーバーに脆弱性、全サイトの65％に影響

2011.09.08

　最近のセキュリティインシデントの中でインパクトが最も大きいのは、Apacheに脆弱性が見つかったことだろう。

　Apacheソフトウエア財団は、Apache Webサーバーの全バージョンが影響を受ける脆弱性を明らかにした。DoS（サービス不能）攻撃を可能にする弱点で、すべてのWebサイトの最大65％が攻撃を受ける危険性があるという。既にこの脆弱性を突く攻撃ツールも出回っていることから、英ソフォスはブログで注意を呼びかけた。

　DoS攻撃は、サーバーに情報要求を大量に送りつけ、過剰な負荷を与えて接続不可能な状態にする。通常、大規模なWebサイトに攻撃を仕掛けるには相当な馬力が必要になるが、最新の脆弱性ではそれほどの労力を必要としない。

　この脆弱性は、ダウンロードを停止、再開できるようにする機能に存在する。最近では、ダウンロードを途中で止めても、最初からやり直さずに、停止したところからまた再開することができる。この便利な機能は、Webサーバーが必要なファイルの一部のみを渡すよう指示を受けることで実現する。実際、同時にファイルの複数の部分を要求することもできる。実は、この点が問題になった。単一のリクエストで、あるファイルの重複範囲が大きい部分を何百も合法的に要求できる状態になっているのである。つまり、少ない数のリクエストでWebサーバーのCPUやメモリーを消費させることができるのだ。

　Apacheはこうした種類の要求をとりわけ非効率的に処理しているようだが、攻撃は、少なくともHTTPプロトコルそのものの欠陥も利用している。HTTPプロトコルはWebサーバーの振る舞いを決めるルール群で、すべてのWebサーバーは同じルール群に従っているため、すべてのWebサーバーがある程度攻撃に弱いのはあり得ることだ。

　より一般的に考えると、それほど多くのWebを一つのソフトウエアに依存させるのは良識的に見てどうかと、ソフォスは疑問を呈する。そのソフトウエアがどれほど優れているかは問題ではない。

ZeuSの流出ソースコードを使った新たなクライムウエア

　インシデントとしては、ZeuS関連の話題もあった。ロシアのカスペルスキーラボは、クライムウエア「ZeuS」をベースにした新しいパッケージ「Ice IX Botnet」を確認したとして注意を促した。流出したZeuSのソースコードを基にしており、HTTPプロトコルを通じてボットネットを集中管理する新たなWebアプリケーションの第1世代となる。

Ice IX Botnetの概要

　このタイプのクライムウエアは銀行情報を盗むことを目的に設計されている。こうした脅威には十分注意を払い、このZeuSの改良版が早くからユーザー環境に出回っていることを考慮する必要がある。以下の画像は、ブラウザーをフックするこのマルウエアが、米アマゾン・ドット・コムの仮想マシンレンタルサービス「Amazon Elastic Compute Cloud（Amazon EC2）」からデータを盗み出したことを示している。

レポートの画像