止まらないWebサイトの改ざん被害原因の多くは初歩的なミス

高下義弘・西村崇

2001.03.15

　国内のWebサイトを狙った不正アクセス攻撃が収まる気配を見せない。警察庁の調査では，2月中旬の1週間だけで70を超えるWebサイトが改ざんされた。他のWebサイトを停止に追い込む不正攻撃プログラムを仕掛けられたサイトも発見されている。侵入が表面化していなくても注意が必要だ。

　2月6日に情報処理振興事業協会（IPA）が緊急警告を発した後も，JPドメインを持つWebサーバーに対する攻撃はいっこうに止まらない。3月に入ってからも被害報告が相次いでいる。不正侵入者は主にサーバー管理者の監視が手薄になる週末を狙って，攻撃を仕掛けている。Webサイトのトップページを，犯行声明代わりの文章や画像に書き換えていく。

　攻撃は，文字通り，無差別に実行されている。本誌が調査した範囲では，被害にあったWebサイト運営者の規模や業種には，まったく偏りが見られない。利用していたOSやWebサーバー・ソフトの種類もさまざまだ。IPAは2月6日の警告のなかで，マイクロソフトのWebサーバー・ソフト「Internet Information Server（IIS）」が攻撃の対象となるケースが多い，と発表した。しかし，実際には，フリー・ソフトの「Apache」や，iPlanet E-コマース・ソリューションズの「Netscape Enterprise Server」を使うサイトでも，被害が多発しているようだ。

表●2月後半に不正侵入者による改ざんなどの被害を受けたWebサイトの例
Webサイトのトップページが書き換えられたサイトの中から，改ざんの日時や手口などを，各企業から確認できたサイトを掲載した〔表をクリックすると拡大表示〕

　例えば，2月17日の土曜日にWebサイトを改ざんされた，空調機器製造の大西熱学はWebサーバー・ソフトとしてNetscape Enterprise Server3.5を利用していた。「Webサーバーの開発元が提供していたセキュリティ・ホール（セキュリティ上の弱点）の修正ソフトを適用していなかったため，みすみす侵入を許してしまった。幸いにして，実害は出なかったが，今後は注意を徹底したい」と，大西熱学の担当者は反省する。

　もちろん，IISを使うWebサーバーの被害も相変わらず目立つ。システム・インテグレータの三菱電機ビジネスシステムは，IISのセキュリティ・ホールを突かれて，Webサイトを改ざんされた。「社内ではセキュリティ・ポリシーをきちんと定めていたが，日々の業務に忙殺されて，セキュリティ・ホールの修正作業が後回しになっていた」（担当者）と言う。

　Webサーバーの運用を専門業者に委託している場合でも，安心できない。北海道札幌市に本社を置く教育業者は，Webサーバーの運用をサーバー・ホスティング業者に委託していたにもかかわらず，サイトを改ざんされた。この教育業者の担当者は「今回，侵入に使われたセキュリティ・ホールは，特に処置が難しいものではないと聞いている。現在は，サーバーの運用委託先を変更することも検討している」と，怒りを隠せない様子だ。

保守や開発作業のすきを突かれる

　不正攻撃の被害を防ぐ上で，Webサーバー・ソフトのセキュリティ・ホールをふさぐことは，対策の第一歩だ。ただし，それだけでは十分ではない。自動車大手のスズキは，2月25日の日曜日，Webサーバーの保守作業のすきを突かれた。

　スズキは，その週末，Webサーバーに新機能を追加する計画だったため，2月24日の土曜日から社内ネットワークへの侵入を防ぐ「ファイアウオール」の設定を変更した。具体的には，ファイル転送用プログラムの「FTP」や遠隔操作プログラム「Telnet」を使って，ファイアウオールの外からでも，Webサーバー内のファイルを操作可能にした。「このことが仇となり，Webサーバーへの不正侵入を許してしまった」と，スズキのWebサイトを管理しているベンダーの担当者は悔しがる。

　スズキへの不正侵入者は，インターネット上でひそかに流通している不正侵入用のソフトを悪用した模様だ。まず，「ポート・スキャン」と呼ぶ手法で，FTPによるファイル転送や，Telnetによる遠隔操作がファイアウオールの外から実行できるかどうかを調べた。その後，ユーザーIDとパスワードの組み合わせを手当たり次第に試すツールを使って，Webサイトの改ざんに成功したと見られる。

　通信販売のリベルタも，スズキと同様に，ファイアウオールの設定が原因で侵入を許してしまった。同社は現在，Webサイトを大幅に拡張する作業を進めている。「開発を委託している外部業者のために，すべてのサービスを社外から利用できるようにファイアウオールを設定した」（担当者）ことから，Webサーバーに侵入されてしまった。

DDoS攻撃用のプログラムが仕込まれる

　Webページの改ざんという，ひと目でわかる被害が出ていなくても，不正侵入の被害を受けているケースはある。

　セキュリティ対策の啓もう活動や情報提供をしている任意団体「JPCERT/CC（コンピュータ緊急対応センター）」は2月28日，「日本のWebサーバーが不正行為の“踏み台”となる可能性がある」とという警告を発した。JPCERT/CCによると，「日本国内の複数のWebサイトで，DDoS（分散型サービス妨害）攻撃を仕掛けるためのプログラムがインストールされていたことが発見された」という。

　DDoS攻撃とは，攻撃用プログラムを仕掛けられた多数のサーバーが，特定のWebサーバーにIPパケットを一斉に送信する攻撃の手法。この攻撃を受けたWebサーバーには，極端な負荷がかかり，レスポンスが極度に悪化したり，ダウンする。ちょうど1年前の2000年2月から3月にかけて，猛威を振るい，日米の著名Webサイトを次々とサービス停止に陥れた。

　DDoS攻撃に加担しないためには，自社のWebサイトに攻撃用プログラムが仕掛けられていないかどうかを頻繁にチェックするしかない。DDoS攻撃用のプログラムは，現在，複数種類見つかっているが，いずれもサーバー用のウイルス対策ソフトやセキュリティ検査ツールで発見・駆除できる。

　Webサイトへの不正侵入や改ざんの被害が報告されるたびに，セキュリティ対策の重要性が強調される。だが，少数の担当者が，通常業務の合い間をぬって，セキュリティ情報の収集や，セキュリティ・ホールの修正作業をこなすような体制では，限界がある。「当たり前の対策」を徹底するためには，Webサーバーの運用体制などを抜本的に見直す必要があるだろう。