| エンタープライズ:ニュース | 2003/04/02 21:35:00 更新 |
続発するWeb改ざん、しかし真に警戒すべきは……
イラク戦争の開戦以来、それに乗じたワームが登場しただけでなく、サービス拒否攻撃やWeb改ざんが相次いで発生している。ここでシステム管理者に必要なのは、目に見える現象に惑わされることではなく、適切な管理をきっちり行うことだ。
アメリカとイラクの戦争が始まってからというもの、にわかにネットワーク上も騒がしさを増してきた。あたかもイラク戦争に関連するような添付ファイル名や題名の電子メールワームが登場したり、特定のサイトに向けたDoS(サービス拒否)攻撃が起こったりと、さまざまなハッキング攻撃――正確にはクラッキング、もしくはいたずらというべきか――が発生している。
中でも頻発している事件が、Webサイトの書き換え・改ざんだろう。開戦以来、戦争を支持する側と反対する側の双方が、自らの理念を訴えるべく、あるいは目障りな相手の主張をかき消すべく、あるいはほんのいたずら心や目立ちたいという一心だけで、数多くのWebサイト改ざんを仕掛けてきた。
おそらく最も記憶に新しいのは、カタールの衛星テレビネットワーク「アルジャジーラ」の英語版Webサイトの改ざんではないだろうか。だがこれは氷山の一角に過ぎない。戦争の当事者たる軍事組織だけでなく、直接的な関わりはない企業や自治体などのWebサイトにも被害は及んでいる。フィンランドのエフセキュアによると、Web改ざんの報告数は3月17日の週だけで1万を超えたといい、しかも実数は確実にその数を上回っているはずだという。
Web改ざんは「セキュリティ対策破綻の証拠」
しかしながら、Web改ざん攻撃はイラク戦争が始まってからはじめて登場したわけではない。これまでにも数多くのWebサイトが改ざんの被害に遭ってきた。国内ならば、2000年初頭に発生した官公庁Webサイトの連続改ざんという例がある。
Webサイトの改ざんは見た目が派手だし、サイトを訪れたユーザーに与えるインパクトも大きい。しかし、用いられる攻撃手法は比較的単純なものが多く、高度な(何をもって“高度”と判断するかにはいろいろな見方があるだろうが)テクニックはあまり必要としない。したがってWeb改ざんはある意味、ずさんな管理の下にあるサーバに対する、クラッカーからの親切な“警告”と見なすこともできる。
事実、インターネット・セキュリティ・システムズ(ISS)が独自に解析したところによると、改ざん対象となったサイトのうち、Apache 1.3xとOpenSSL 0.9.6bを利用しているところが非常に多かったという。OpenSSLのバージョン0.9.6d以前には、2002年7月に複数のセキュリティホールが報告されており、同年9月に登場した「Slapper」ワームではこれが悪用された。もちろん、修正用のパッチや問題をフィックスした新バージョンはとっくに提供済みだ。
ISSによれば、一部ではマイクロソフトのInternet Information Serivce(IIS)が利用されていたというが、これとて適宜パッチが提供されている。例外は、先日Windows 2000に発見されたセキュリティホール(MS03-007)で、これは問題が公表される前に攻撃用コード(exploit)が流通してしまった「ゼロ・デイ」型攻撃だった。
つまり何が言いたいかというと、上記のゼロ・デイ型攻撃を除けば、適切な管理さえ行っておけばWeb改ざんなどという目に遭う可能性はずっと低かったはずだ、ということだ。ここでいう適切な管理とは、自社サイトのリソースを把握し、それぞれのセキュリティ対策状況を把握し、関連情報を収集して、適宜パッチを適用したり不必要なサービスを停止するといった措置を取る、という一連の流れである。
ISSはZDNetからの質問に対し、「Web改ざんに限って言えば、他サイトへの被害拡大などもないことから、精神的なダメージは大きいが、実際の被害としては軽微なものと思われる」と回答している。
しかしながら同時に、Web改ざんは、自サイトのセキュリティ対策が破綻した証拠として深刻に考える必要があると同社は指摘する。「Web改ざんと同時に、バックドアの導入やデータ漏洩といった他の被害に遭っている可能性が高いこと、そして他のシステムにも脆弱性が存在する可能性が高いことから、システム管理者はWeb改ざん被害に注意を払う必要がある」(同社)。
絵になるからか、Web改ざんに関するニュースは、ことさら大きく取り上げられる場合も多い。しかし注意を払うべきは、その背後にあるいっそう深刻な不正アクセスのほうだ。
ISSでは、こうしたWeb改ざんが蔓延する原因として、自サイトのセキュリティ対策状況を正確に把握できていない組織が多く存在することを挙げている。「適切なセキュリティパッチの適用は重要だが、それ以前の問題として、セキュリティ対策状況を正確に把握することが重要」(同社)。並行して、不正アクセスの兆候や行為を補足するシステムと運用体制を整えることで、被害に遭う可能性を最小限にとどめることができるとしている。
サイバーテロを許しかねない土壌とは
もう1つ、必要以上に脅える必要はまったくないが、頭の中に入れておくべきことがある。狭義の「サイバーテロ」対策だ。サイバーテロという言葉の定義は人によってまちまちだが、ここでは、インターネットのインフラそのものに対する攻撃や、発電所・水道といった人間生活に必要なインフラに対する攻撃としておきたい。
日本でサイバーテロ対策がまったくなされていないわけではない。内閣官房情報セキュリティ対策推進室では、2001年10月に「サイバーテロ対策に係る官民の連絡・連携体制について」をまとめ、官民連携で対策・情報共有のための枠組み作りを進めている。
しかしながらISSでは、日本でこうしたサイバーテロが発生する可能性は十分あると述べている。というのも、同社が行ってきたセキュリティコンサルティングの経験を踏まえると、容易に侵入できる状態で放置されているサーバやサイトが多数存在する可能性が高いからだという。
「大規模なシステムにおいても、システム構築を行う会社がそのままセキュリティ対策も担当していることが多い。このため、セキュリティ対策よりもシステムの稼働が優先されることが多く、多数のセキュリティ上の問題が隠蔽されたまま、もしくは誰も気付かぬまま放置されている可能性が高いと考える」(同社)――これこそ、セキュリティ問題を引き起こしている根本的な土壌ではないだろうか。
関連記事
サイバーテロへの恐怖をあおる“プロの妄想家”たちいつまで続く、イラク戦争関連のサイト改ざんアルジャジーラのサイトに星条旗イラク戦争便乗ワームの作者摘発増え続けるイラク戦争関連のサイト改ざんサイバーテロで本当に怖いのは……悲劇から1年、米サイバーテロの現実味は?関連リンク
Iraq War and Information Security(エフセキュア)米国を中心としたWebサイトの改ざんについて(インターネット・セキュリティ・システムズ)[高橋睦美,ITmedia]
