【インターネットに公開しているサービス特有の攻撃とその対処方法（1）】（東陽テクニカ）

　インターネット上に公開するサーバは常にハッカーのターゲットになる可能性を秘めている。そこでサービスを提供しているならば、そのサービス自体の持つ脆弱性やサービス特有の一般的な攻撃により被害を受ける可能性も十分に考えられる。ここでは代表的なインターネットサービスについてどのような攻撃があるのか、またその設定方法おもに強化方法について説明していきたい。

＜はじめに＞
　毎日のようにさまざまなOS、アプリケーションソフトのセキュリティホールが報告されている。また、報告されている以外にも、それぞれのアプリケーションが複雑に絡み合って起こるセキュリティホールがある場合も十分に考えられる。もちろん潜在的なものも。新たなセキュリティホールをついてハッカーが攻撃してこないとは言い切れない。１つのOSと１つのアプリケーションでさえ多大な既知のセキュリティホールと潜在的なセキュリティホールが存在するわけであるから、インターネットに公開するサーバは、単一サービスで提供するのがもっとも管理しやすくセキュリティ確保に効果的な方法であるといえる。原則として、絶対に必要なサービス以外はインストールしないこと。必要かどうか分からないサービスは無効にすること。というのを肝に銘じておくことが必要である。

＜Webサービスにおける注意点と攻撃例＞

　Webサービスはインターネットを使用している一般ユーザに取って一番目に付くところである。ということは一番攻撃されやすいターゲットであるといってよい。Webサーバをどのように構築し、管理していけばよいのか？

・Webサーバの設定における注意点
　CIAC（Computer Incident Advisory Center）のJ-042: Web Securityにセキュリティを高める16の方法に関して記載されてあるので抜粋してみた。
→CIAC J-042:
Web Security http://www.ciac.org/ciac/bulletins/j-042.shtml

1. WebサーバはDMZ（非武装地帯）設置し、ポート80,443以外は通過しないようにする。
2. すべての必要でないサービスは削除する。
3. リモートからの管理特権利用は禁止する。
4. 管理特権をもつユーザの数を制限する。
5. Web上で行われたすべてのログはこのマシンとは離れたイントラネット内にあるマシンで保存しておく。
6. 危険な攻撃があった場合のトラップで警告を出せるようにしておく。
7. phfのような不必要な/cgi-binに含まれるスクリプトは削除する。
8. IISでデフォルトインストールされるファイルは削除しておく。
（default.htmなど）
9. セキュリティパッチはアナウンスされたと同時に当てる
10. ローカルコンソール上でGUIコンソールを使わなければならない場合は、スタートアップで自動的にGUIが立ち上がらないようにしておく。また、長時間GUIコンソールを立ち上げっぱなしにしておいて席を外さないよう
にする。
11. リモートから管理しなければならないときはSecure-Shellを利用する。外部からのtelnetやanonymous-FTPは許可してはいけない。
12. 本当のシステムファイルにアクセスできないようにするため、chroot-ed部分でWebサーバを動作させる。
13.　本当のシステムファイルにアクセスできないようにするため、chroot-ed部分で（必要ならば）FTPサーバを動作させる。
14. アップデートは内部ネットから行う。
15. ISSやnmapを使ってWebサーバの弱点を探しておく。
16. IDS（不正侵入検出装置）でWebサーバに接続するすべてのパケットを監視する。

米NetworkICE社ホームページ：
http://www.networkice.com/
advICE（英語）ページ：
http://advice.networkice.com/Advice/default.htm

（株）東陽テクニカセキュリティホームページ：
http://www.toyo.co.jp/security/index.html
advICE（日本語）ページ：
http://www.toyo.co.jp/security/ice/advice/

（株）東陽テクニカ
情報通信システム部セキュリティグループ
安食　覚

詳しくはScan本誌をご覧下さい
http://www.vagabond.co.jp/c2/scan/