森 浩徳氏 日本ヒューレット・パッカード コンサルティング統括本部 テクノロジーソリューション本部 ネットワークソリューション部 部長
大久保 敦氏 日本ヒューレット・パッカード システム統括本部 ネットワークシステム本部 西日本ネットワークシステム部
読み取り専用なのに改ざんされた
|
|
図2 ファイアウォールを導入して利用ポート番号を絞っただけで安心していたB社は,Webページを改ざんされた B社はその後,Webサーバーに関する様々な設定を見直すとともに,定期的に修正プログラム(パッチ)を適用したり,ログを検証することで,問題を解決した。 |
|
|
写真1 FrongPage Server Extensionsを搭載したIISサーバーは,IISのルート・フォルダのアクセス権が読み取り専用(写真(1))になっていても,Webフォルダ機能(写真(2))を使ってファイル変更が可能 第三者が容易に推察できるパスワードを使っていると,クラッカにWebフォルダ機能を悪用される恐れがある。Webフォルダ機能自体は,サーバー管理者によるファイル修正などのために必要である。 |
続いてCさんは,ログを確認した。すると,IISのログの中に「2003-04-14 10:46:09 SourceIP-DestinationIP 80 POST/_vti_bin/_vti_aut/author.dll-200 MSFrontPage/4.0」という見慣れないログを見つけた。
実はCさんは,Server Extensionsを搭載したIISサーバーに対しては,デフォルトでInternet Explorer5/6などが持つ「Webフォルダ」機能を利用できることを見落としていた。この機能を使えば,IISのルート・フォルダのアクセス権が読み取り専用になっていても,ファイル一覧を表示したり,ファイルを変更できるのだ。
上記のログは,Webフォルダ機能を持つクライアントを使って,Server Extensionsが提供するファイル編集機能が悪用された形跡を示唆する。Cさんはこれまで,ファイアウォールを設置した安心感からユーザー名を「administrator」にし,パスワードは単純な文字列にしていた。このため,クラッカにパスワードを見破られたのだ。
情報を集めサーバーを徹底強化
CさんはWebサイトを安全に運用していくために,次のような措置を採ることにした。まず,マイクロソフトが提供するセキュリティ・チェック・リストを基に,サーバーを再設定。管理者パスワードは第三者に見破られにくい文字列に変えた。また,サーバーのぜい弱性に対処するため,IISやOSの修正プログラム(パッチ)を随時適用することにした。
このほか,(1)マイクロソフトのメーリング・リストに登録し,最新のセキュリティ情報を入手,(2)セキュリティ検査ソフト「Baseline Security Analyzer」を使い,ぜい弱なポイントを検出――など,万全の体制を敷いた。
Webサーバー上にある不要なファイルの削除や,不要なサービスの停止も実施。この作業は,専門的な知識がなくてもテンプレートを選択することで実施できるソフト「IIS Lockdown Tool」を利用した。
さらにCさんは,定期的にログを収集し,不正な記録が残っていないか検査している。これに先立ち,ポート管理やログ収集の容易さを重視して,新たにファイアウォールを購入した。サーバーのログを表示するイベント・ビューアを使って不正侵入がないかどうかも確認している。
