ニュース 2002年7月25日 09:44 PM 更新

自治体サーバは危ない?

バガボンドの国内自治体ドメイン調査によると、脆弱性が見つかっている古いバージョンのApacheを使用していたり、スパムの踏み台になっているサーバも多かった

 バガボンドは7月25日、国内の自治体ドメインについてWebサーバやメールサーバの管理について実態を調べた結果を公開した。セキュリティホールが報告されている旧バージョンのWebサーバソフトが多く使用されていたり、スパムの“踏み台”になっていたケースもあった。

 調査は今年3月16−22日に実施。ドメインにcity.」「pref.」「town.」「vill.」「village.」「lib.」「library.」「go.jp」が含まれる3557件について、WebサーバとSMTP/POPサーバのアプリケーション種別とOS種別、ORBZ/ORDB不正中継データベース登録状況、サーバ事業者名を調べた。そのうちOSは1200件、Webサーバアプリケーションは3103件、POPサーバは3965件、SMTPサーバは4265件が特定できた。

 OSはSolarisが26.83%でトップ。Linuxが26.50%、Windowsが24.17%で続いた。同社のco.jpドメイン調査ではSolarisが約40%でトップだったのに比べ、自治体ではWindowsシェアが高い。同社は「サーバ事業者へのアウトソーシング比率が低いため」とみている。

 Solarisは旧バージョンの2.5を500以上のサイトが使用していた。これに対しシマンテックがコメントを寄せ、「セキュリティの第一歩は最新バージョンや最新パッチの使用。手間や費用の節約のために古いOSが使われているとすれば、パッチの適用などの安全性に対する手間も省かれている可能性がある」と指摘した。

 WebサーバアプリケーションはApacheが63.36%でもっとも多く、IISが26.04%で続いた。Apacheのバージョンは1.3.xが多かったが、調査時点での最新バージョンだった1.3.23にアップデートしていないサイトが多かった。

 ケーブルアンドワイヤレスIDCはこれに対し「使用サイトがもっとも多い1.3.12には多くのセキュリティホールが発見されており、大変危険」と指摘している。

 POPサーバはQPOP、SMTPサーバはSendmailがトップ。SMTPサーバのうち81件が不正中継データベースに登録されていたため同社は関係各所に告知したという。

 住民基本台帳ネットワーク(住基ネット)が8月の稼働を目指して準備が進んでいるが、“穴”が1カ所でもあれば個人情報が根こそぎ流出しかねないとして計画の凍結を求める声も大きい。

 「おそらく最大の“セキュリティホール”は行政のIT意識の低さ」という指摘もある。不正中継を放置していたケースは、状況が異なるとはいえこの“セキュリティホール”論に根拠を与えてしまう。「行政も一般企業と同じ。人間だからミスを犯す」という“本音”が許されず、常に完全が求められている点が住基ネットの抱える深刻な脆弱性だろう。

 調査結果の詳細は「自治体ドメイン実態調査資料」として販売する。9万8000円。

関連記事
▼ 杉並区、住基ネットの賛否を問うネット投票

関連リンク
▼ ニュースリリース

[ITmedia]

Copyright © ITmedia, Inc. All Rights Reserved.



モバイルショップ

最新CPU搭載パソコンはドスパラで!!
第3世代インテルCoreプロセッサー搭載PC ドスパラはスピード出荷でお届けします!!

最新スペック搭載ゲームパソコン
高性能でゲームが快適なのは
ドスパラゲームパソコンガレリア!