攻撃者は、システムにどこか1カ所脆弱な部分を見つければ、そこを攻撃してくる。守る側は攻撃者の視点に立って、自分たちのシステムに弱点がないかを検証する必要がある。攻撃者から狙われやすいセキュリティ上の弱点について解説する。
* * *
あるメーカーの情報システム部に勤める若手エンジニア、若葉イロハ。情報システム部の倉田部長と先輩の吉野さんに、2017年上半期のセキュリティ診断の成果を報告している。
若葉:危険度中以上の脆弱性は、すべて対策が完了しました。
倉田:半年間でなかなかの成果じゃないか。これで、もう安全と言い切っていいんだね。
若葉:えっと…、大丈夫かな。
吉野:ちょっと待って。攻撃者は甘くない。過信は禁物だよ。
* * *
攻撃者が狙いやすく、守る側が見落としがちなポイントを下の図に挙げた。特に注意が必要なのは、「意図せず公開しているサービス」「管理が不十分なソフトウエア」「管理用Webページの悪用」「CMS▼の脆弱性」「検索エンジンを使ったハッキング」の五つだ。
攻撃されやすいサービスに注意
サーバー上で稼働しているサービスの中には、攻撃されやすいものがある。「意図せず公開しているサービス」は、これらを重点的にチェックしよう。
TELNETやSSH▼など、遠隔からサーバーを操作できるサービスは、パスワードを特定されると、サーバーに直接侵入されてしまう。公開する必要がないなら、サービスを停止するのが基本だ。システムの構築時にはポートを閉じていても、メンテナンス時などに開いてそのままにしてしまうことがよくある。定期的な確認も大切だ。
サービスを停止できない場合は、管理端末だけがアクセスできるように、IPアドレスによる接続制限など、できるだけ強固なアクセス制御を設定しよう。
FTP▼やSMB▼のようなファイル共有サービスには、ファイルを閲覧される情報漏洩の危険性や、悪意のあるファイルをアップロードされる危険性がある。これらのサービスを停止できない場合は、IPアドレスによるアクセス制限に加えて、匿名ログイン▼が許可されていないか確認する。ファイルやフォルダーへの適切なアクセス権限の設定も不可欠だ。
Microsoft SQL ServerやPostgreSQL、MySQLなどのデータベースサービスは、万が一攻撃が成功した場合に大規模な情報漏洩につながる。特に、Microsoft SQL ServerのようにOSコマンドを実行できるものは、サーバーに侵入される危険性もある。
データベースソフトウエアは、初期設定ではネットワーク越しにログインできないようになっているものが多い。設定が変わっていないかどうか、確認しよう。
Contents Management Systemの略称。HTMLなどのスキルがなくても、Webサイトのコンテンツを作成し管理できるツール。
Secure Shellの略。
File Transfer Protocolの略。
Server Message Blockの略。
誰でも匿名でサービスを利用できるようにするログインのこと。「anonymous」などのユーザーIDを使えば、認証情報なしでログインできるように実装されていることが多い。