定期的なアップデートでネット攻撃から身を守る(1/3 ページ)

Webサーバ上の機密データを狙う攻撃者がCMSを標的にするようになるなど、アプリケーションに対するアップデートの必要性がますます重要になっている。

» 2007年10月26日 02時10分 公開
[Mike-Ho,Open Tech Press]
SourceForge.JP Magazine

 OSについては、パッチを適用して最新の状態を維持することの重要性を誰もが知っている。しかし、アップデートが必要なのはアプリケーションソフトウェアも同じだ。企業がWebの存在価値を高く認め、その背後でコンテンツ管理システム(CMS)のような効果的なツールを使ってもろもろの管理を行うようになってから、アプリケーションのアップデートはますます重要になっている。残念なことだが、CMSが普及するにつれ、Webサーバ上の機密データを狙う攻撃者がCMSを標的にするようになったからだ。

 自社に関する否定的な報道を流す最も簡単な方法の1つは、社会保障番号やクレジットカード情報の入ったノートPCを紛失することだが、この手の話は驚くほど多い。だからといって、“安全のために”情報をエンタープライズサーバ上に置くにしても、匿名の攻撃者に盗まれるという危険が伴う。こうした不祥事がメディアの目に留まれば、ノートPCを紛失した場合と同じくらいに自社の評判が低下するおそれがある。

 最近狙われているのはPHPベースのXOOPSというCMSに含まれるCjay Content 3モジュールで、インターネット上のどのコンピュータからでもホストマシンの任意のOSコマンドが実行される可能性がある。このホールを利用した最も一般的なエクスプロイトは、Webサーバを実行中のユーザー名や利用可能なファイル領域のサイズといった情報の収集しか行わないようだ。だが、仮にroot権限で実行中のWebサーバが見つかれば、より深刻な攻撃が待っていることは容易に想像できるだろう。

 こうした攻撃で狙われるホールの詳しい情報は、米国政府のNational Vulnerability Database(NVD)で参照できる。

 たとえWebサーバでXOOPSやCjayを実行していなくても、油断はできない。前述の国有データベースには何千件という脆弱性が登録されており、Cjay攻撃は数ある分散型攻撃の最新のものにすぎない。それ以前の攻撃対象としては、PHPベースのCMSであるpMachine、同じくPHPベースのフォーラムソフトウェアphpBB、そしてPHP自体に含まれる特定のライブラリ群などが挙がっている。

 利用している特定のCMSに存在し得る脆弱性を調べるには、単純にキーワード検索を行うだけで問題点が明らかになる。よく知られているオープンソースのCMSについて、セキュリティ重要度の高い脆弱性の件数を調べてみるとJoomlaの73件に対し、Drupal、Wordpressはそれぞれ20件、24件となっている。ではCMSを実行しなければ大丈夫かというとそうでもない。Apacheでさえ100件を超える潜在的な問題点が挙げられているのだ。

 CMSに関する多くのエクスプロイトはシステムの基本コードではなくインストール可能なモジュールを標的にしているが、数々の方法で機密情報へのアクセスが行われた場合にはWebサーバ管理者に対して緊急の注意を喚起する必要があるだろう。最善の防衛策は、ソフトウェアを常に最新の状態に維持して被害を食いとどめることだ。

       1|2|3 次のページへ

Copyright © 2010 OSDN Corporation, All Rights Reserved.

注目のテーマ