相次ぎ発見される「セキュリティ・ホール」が,多くの企業にとって悩みの種になっている。
セキュリティ・ホールとは,“ある情報”を外部から送信したり操作をすることでセキュリティ上の不具合を引き起こすバグの総称である。OSやサーバー・ソフトで発見されることが多い。セキュリティ・ホールを放置しておくと,例えばサーバーに不正侵入されたり,サーバーを停止させられる恐れがある。
通信サービス業者のA社では,5月中旬にWebサイト改ざんの被害に遭った。トップ・ページが,真っ黒の地に赤い文字で,政治的な主張を訴える内容に書き換えられていたのだ。同社のWebサイトは,Windows NT 4.0とWebサーバー・ソフト「Internet Information Server(IIS)4.0」上で稼働していた。Webサイト改ざんの被害が特に多く報告されているソフトの組み合わせである。
一般に改ざんというと,攻撃者がコマンドを駆使してサーバーに不正侵入するという流れを思いつくが,A社の場合はそうではなかった。Webページを自動的に改ざんする不正なプログラム(ワーム)の「sadmind/IIS」による被害だった。sadmind/IISはSolarisサーバーのセキュリティ・ホールを突いて侵入するとともに,そのSolarisサーバーから別のWindowsサーバーのセキュリティ・ホールを攻撃し,Webページを自動的に改ざんする。A社が改ざんされたのは,ちょうど警察庁が5月10日に警告を出した直後のことだった。
このWebサイトの構築を担当した中堅システム・インテグレータのSEによると,被害の原因はセキュリティ・ホールを修正する「パッチ」の適用し忘れ。「NT4.0とIIS4.0に適用すべき数個のパッチのうち,IISについて一つだけ適用するのを忘れてしまった。顧客にも迷惑をかけたし,適用し忘れた自分が恥ずかしい」(同SE)。
A社のケースは担当者のミスと言えばそれまでだが,セキュリティ・ホールの数があまりにも多くなり,企業が対処し切れなくなってきた現状を如実に示す一例ともいえる。
担当したSEは反省の弁に続けて,次のような本音を漏らす。「今後一切,WindowsとIISの組み合わせではWebサーバー構築の仕事は受けたくない。この組み合わせにはあまりにも既知のセキュリティ・ホールが多すぎるし,今後も大量に発見される恐れがあるからだ。頂戴するサービス料金によっても変わってくるが,この組み合わせで顧客を安心させられる自信は,正直言ってあまりない」。実際この中堅システム・インテグレータでは,今回の事件をきっかけにして,Linuxなど別のOSによる提案を増やす方向にあるという。
あるユーザー企業B社の担当者は,相次ぎ発表されるセキュリティ・ホールに対して,こんな愚痴をこぼした。「Webサーバーの運用担当者は私だけ。泣き言であることは承知しているが,現場の人間にとってはセキュリティ・ホールの情報収集やパッチの検証も一苦労だ。ホスティングなどのサービスを利用してセキュリティの対策を専門家に任せるにしても,予算が限られている・・・」。
もちろん,セキュリティ・ホールの存在はWindowsやIISに限らない。UNIX系OSにもあるし,データベース・ソフトやウイルス対策ソフト,それにルーターなど通信機器のOSでも発見されている。「外部と交信するソフトであれば,ほとんどすべてに存在し得る」と言っても過言ではないだろう。OSやサーバー・ソフトなどのセキュリティ・ホールだけでなく,その上で稼働するWebアプリケーションにセキュリティ・ホールが生じる可能性もある。例えば,複数のWebページにまたがるサービスを提供するためにユーザー個人のIDをURLに埋め込む方法を使うことで,結果としてIDが外部に漏れてしまうケースだ。
このように,インターネットを活用する企業は,多岐にわたるセキュリティ・ホールに気を配る必要がある。相次ぎ報告されるセキュリティ・ホールに対して,迅速かつ確実に対処するためには,正確な情報を提供するWebサイトを見つけておくこと,ソフト・ベンダーやシステム・インテグレータとの協力関係を強めること,本番環境とほぼ同様のテスト環境を常に用意してパッチの検証を素早くできるようにしておくこと,といった取り組みが欠かせない。
ソフト・ベンダー側も,もっと誠意ある対処をすべきだろう。セキュリティ・ホールが見つかるのはソフトの宿命かもしれない。しかし,「情報は提供しています。あとはユーザー自身で勝手にやってください」という姿勢では,「製造者としての責任感がない」と非難されても仕方がない。
(高下 義弘=日経コンピュータ)
