自社サーバがフィッシングサイトに「踏み台化」されたら?企業責任としてのフィッシング対策(2/3 ページ)

» 2006年03月17日 12時30分 公開
[伊藤求,ITmedia]

「ネットワークから切り離す」ことができますか?

 ここで考えてほしいのは、あなた自身が「ただちに該当ホストをネットワークから切り離す」ことができるかどうかということだ。

 フィッシング踏み台サイトにされているというインシデント報告があった。しかし、該当ホストは会社の業務サーバで、もしネットワークから切り離してしまうと業務に支障がでる。さらに運悪く、担当者や上司とは連絡が取れない。結果的に対応が遅れ、長時間フィッシングサイトが公開されていた……というような事例が、われわれJPCERT/CCがコーディネーションしたインシデントでも幾つか見受けられた。

 さて、このような時、あなたははたして該当ホストのネットワークケーブルを抜くことができるだろうか? いや、そもそもそのホストがどこにあるか分かるだろうか?

 皆さんがこのような事態に陥らないために、次の2点を改めて確認することをお勧めする。

・ネットワークから切り離す権限者(複数)の確定
・インシデント発生時の連絡網の整備

 まず権限者を確定する場合は、事前に管理者などと相談し、その人物が実施可能なことや事後報告で行える作業などを決めておくほうがよい。その際、切り離し作業そのもので発生した問題に、権限者の責任が発生してはならない点に留意する必要がある。そうでない場合、切り離しの判断に遅れが生じる可能性がある。

 なおこの権限者は、必ずしもホストの管理者である必要はない。事実確認を行い、ネットワークから切り離すことが任務だからだ。

 権限者を複数置き、連絡網を整備することは、インシデントが発生したホストをネットワークから切り離す体制をより確実に整えるためだ。仮に権限者を決めていたところで、連絡がつかなければ、切り離しの決断や指示は行えない。

 そして、これらを整備するということは、結果的に、最も初歩的なCSIRT(Computer Security Incident Response Team)を作るということにもなる。皆さんにはいま一度、職場の状態を確かめることをお勧めする。

システム復旧時の注意

 フィッシングの踏み台サイトになった場合の後始末、つまりシステム復旧時に注意することは、

  • グローバルIPアドレスで作業しない
  • アンチウイルスソフトやファイアウォールを過信しない
  • バックアップファイルをそのままリストアしない
  • 設定を見直し、不要なサービスは提供しない

などの点だ。

 まず「グローバルアドレスで作業してはいけない」のは、再インストールされたシステムは、セキュリティパッチがまったく当たっていない、極めて脆弱な状態にあるからだ。JPCERT/CCでは、インシデント後のシステム再構築に際しては基本的に、「初期化、再インストール」を推奨している。しかし、この作業を行うときの環境には十分注意する必要がある。

 例えば、JPCERT/CCとTelecom-ISAC Japan(*2)が共同で実施した調査によると、「未対策のパソコンをインターネットに接続すると平均約4分でボットに感染する」(関連記事)。つまり、外部ネットへの接続は、ほかのインシデントを発生される恐れがあるので慎重に行わなければならない。したがって、ブロードバンドルータなどプライベートIPアドレスにアドレス変換された状態、つまり外部と直接インターネットに接続していない状態で再インストール作業を行うことを強く推奨する。

 さらに、もし可能であるなら、ほかのホストが接続されていないクリーンなネットワークで作業を行うのがベストだ。インシデントが発生したネットワークは、まだ発見されていないだけで、ウイルスやボットに感染しているホストが存在する可能性があり、信頼性が低いからだ。

 次に「アンチウイルスソフトを過信しない」ことを挙げたのは、「既存のウイルス対策ソフトでは悪意のあるファイルをすべて検出できない」からだ。前述のJPCERT/CCとTelecom-ISAC Japanが共同で実施した調査によると、フィッシングサイト構築などにも用いられるボットについては、1日に80種類以上の亜種が発生している。そのためアンチウイルスソフトのパターン更新が追いつかず、すべてを検出できないという。

 それが一因となり、すでに国内のISPユーザーの22.5%がボットに感染しているという結果も出ている。同様にファイアウォールを用いている場合でも、外部からのすべてのポートを閉じていない限り、侵入の危険は回避できない。どれか1つでもポートが開いていれば、そこからボットなどに感染し、フィッシングサイトを構築される可能性もあるからだ。

 さらに、「バックアップファイルをそのままリストアしない」というのは、その中に既に悪意のあるプログラム本体や、それに感染してしまっているファイルが含まれる可能性があるからだ。そのため、繰り返しになるがJPCERT/CCでは、システム再構築時には「初期化、再インストール」を推奨している。カスタマイズした部分などは、別途、記録などを基に新たに作成するか、バックアップしたものを用いる場合でもセキュリティ専門会社の外部監査を受けるなど、細心の注意を払いたい。

 最後に、一度不正侵入を受けたシステムは再度攻撃の標的にされることが多いので、従来の提供サービスやアクセス制限などを抜本的に見直す必要がある。

 例えばWebサーバの場合、「コンフィグレーションで不要なモジュールを無効化する」「不必要なアプリケーション(例えばPHPやSQL)などはインストールしない」といった対策が必要だろう。ファイルサーバの場合も同様である。これらホストの役割と必要なサービスの見直しを徹底し、必要最低限のサービスに限定する必要がある。

 また、IPアドレスによるアクセス制限なども見直し、侵入の間口を狭くすることも重要である。

 さらにその上で、「簡単に推測できるパスワードは使わない」「サービスの初期設定パスワードをそのまま用いない」など、利用者の使っているパスワードを見直すことも必要である。JPCERT/CCでは、このような脆弱なパスワードを狙われた不正侵入インシデントに関する報告を多数受けており、非常に危険性が高いからだ。


*2テレコム・アイザック推進会議

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ