【無料ツールで作るセキュアな環境(36)】〜認証システムの根幹〜(執筆:office)
既にScan Security Wire増刊号紙上でも報道されているので、読者の皆様も既にご存知のニュースだと思うが、セキュリティベンダーである日本ボルチモアテクノロジーズのwebが10月7日以降立て続けに改竄され、またテレビ東京もWeb改竄された[1]。
特集
特集
そして同時に改竄されたサーバを長時間放置したままにする、事件発覚後に顧客に何のレポートもしないなどの対応のまずさが指摘されている[2]。
ここでこの記事で注目したいことは、テレビ東京はSSL通信によって顧客からクレジットカード番号を受け取るサーバ自身が侵入されていること、また日本ボルチモアテクノロジーズは手広く認証サービスを行っている会社であることだ。
Web改竄が自由に行われているということは、管理者権限も奪われた可能性が極めて高いと考えてよいだろう。SSLなどのPKI技術がいくら安全だといっても、肝心のサーバ自体が乗っ取られれてしまえば、このような安全は全て無に帰してしまう。Web改竄されたサーバや、Web改竄されたサーバ同じLAN内にあるサーバ群にあるクレジットカード番号も、認証用データも全て危険に晒されたと考えてよい。
(本原稿は10月7日時点で執筆されたものです。日本ボルチモアの発表によると認証用データなどには影響はないとのこと。本誌のニュース欄参照)
顧客に対して、データ類が暗号化されておらず平文のままシステムに蓄積されていた部分がなかったか、またデータ類のMD5などのハッシュ値が以前と異なっていないかなど、データが安全だったことを証明しなければ、これらのサービスの信頼性は回復されない。もしもデータが盗まれたり、改竄された可能性があることが明らかにされれば、顧客自身がその事態に対応することも可能である。しかし、何の告知もなされず事態を全く知らされずに放置されたままの顧客の中に、クレジットカードに関して何らかのトラブルが発生した場合、あるいは認証データに何か問題が発生した場合、これらの会社は今後一層苦しい立場に置かれることになろう。
さてまた一方、この事件によってSSLやPKI認証のシステムの根幹が揺るがされ、これらシステムの弱点が明らかになり、同じシステムを利用するネットビジネス業界全体の信用度が下がったと考えることもできる。SSLやPKI認証によって通信経路上のデータの安全性、完全性を保証してもサーバが乗っ取られた場合にはこの安全保障機構は全く無に帰するということが改めて浮き彫りにされたのだ。
サーバへのクラッキング、管理権限の剥奪の可能性を完全に防ぐ手立てというのは未だない。新たなセキュリティホールが発見され、それまで完璧と思われていたサーバの防御機構が突破されるようになる可能性は常にあるのだ。そのセキュリティホールの対策が開発・実施されるまでサーバは危険な状況にある。
office
office@ukky.net
http://www.office.ac/
[1] https://www.netsecurity.ne.jp/article/1/2976.html
[2] https://www.netsecurity.ne.jp/article/9/2978.html
(詳しくはScan本誌をご覧ください)
http:/www.vagabond.co.jp/vv/m-sc.htm
《ScanNetSecurity》