IIS=Internet Incident Server?(意訳:インターネット・イタイ・サーバ)が社内 LAN から企業システムを汚染する | ScanNetSecurity
2024.05.02(木)

IIS=Internet Incident Server?(意訳:インターネット・イタイ・サーバ)が社内 LAN から企業システムを汚染する

〜インターネットよりも社内 LAN の方が怖い!?〜

製品・サービス・業界動向 業界動向
facebookLINE
〜インターネットよりも社内 LAN の方が怖い!?〜

 連続改竄事件の犯人であるクラッカーグループ "TeckLife" は、IIS をターゲットとした活動を行っているらしい。

同一ハッカーにより、国内外で100件以上のWeb改竄が発生(2001.11.8)
https://www.netsecurity.ne.jp/article/1/3219.html

 IIS は手軽かつ安価にサーバを構築できる有用なツールであるが、多くの場合便利は危険を伴う。IIS は、使いやすいと同時に、ねらわれやすいサーバでもある。Code Red、Nimda といったワームの拡散に代表される事件( Incident )がそれを物語っている。
 安易にサーバをたてた企業が、繰り返し改竄された例も少なくない。

 とはいえ、あの手軽さには、かえがたいものがある。社内サーバならば大丈夫だろう・・・と使ってしまう気持ちもわからないでもない。
 オープンなインターネットに接続されているから危険なのであり、クローズドな社内LAN ならば別に大丈夫だろう。そう思うのは、人の常である。

 社内の情報共有のためにたてた、なんのパッチもあてていない、すっぴんのIIS は、時として内部から社内ネットワークを侵食するモンスターとなる。さらにいうと、仮に社内サーバがUNIX系のOSを利用していてもsamba などでWindowsとファイルを共有していると、そこから汚染されることもある。サーバがUNIX系でも、Windowsのサーバもしくはクライアントとファイルが共有されていれば、そこから汚染は広がるのである。

Nimda 続報 UNIX でもLAN経由で共有ファイルが感染する(2001.9.26)
https://www.netsecurity.ne.jp/article/8/2883.html

 社内LAN とはいっても外部からの感染がないわけではない。ご存じのように最近のワームは、複数の感染経路を複合的に利用するようになっている。相手は、休むことも、疲れることもなく自動攻撃を続けるワームである。わずかな弱点から進入してくる。共有ファイル、社内サーバにも感染し、踏み台にしてさらに感染を拡大する。

Nimdaの脅威の本質 javaスクリプトだけ切っても自衛できない(2001.9.20)
https://www.netsecurity.ne.jp/article/1/2849.html
【続報】複合的な攻撃、感染機能をもつウィルス Nimda(2001.9.19)
https://www.netsecurity.ne.jp/article/8/2846.html

 社内LAN 内は「安全」という油断が、被害を拡大する。
 ある意味、社内の方が危険な面をもっている。パーソナルファイアウォールを個別のクライアントに入れていなければ、社内 LAN 内のサーバに対して、クライアントマシンを守ってくれる防壁はない。もっともあったとしても、それをオンにすると、相当に不便になってしまうだろう

 Code Red 、Nimda の際には、社内LAN の汚染が企業では問題になった。社内LAN のため、あまり表立って話題にされることは少ないが、中の人間にとっては、深刻な問題である。LAN に公開しているファイルが勝手にワームつきに改変されてしまうこともある。
 共有フォルダや社内サーバがワームつきの危険物になってしまうと、業務に直接支障がでる分、社外のインターネットサイトの汚染よりも事態は深刻となる。
 もしかしたら、勝手に社内資料をメールで送り出されたりしているかも知れないのである。社内のパソコンが、勝手に社外の第三者のサーバにポートスキャンをかけたり、バッファオーバーフロー攻撃を仕掛けるかも知れない。

 とある大手ソフトウェアベンダでは、社内の情報共有に、各個人が勝手にたてた IIS が Code Red や Nimda に汚染されてしまって駆除に困っているという話しもある。全部のサーバを全て停止して、駆除すればよいのだが、社内で誰がサーバをたてているかわからない。そのためわかっている範囲のサーバからワームを駆除しても、また社内のどこかのサーバから汚染されてしまうのである。

 つい先日、イントラゾーンと誤認識してしまう脆弱性が発見された。ますますもって、社内といえども万全の心構えで再度セキュリティに注意をしなければならない。

MS01-051 不正なドットなし IP アドレスにより Web ページがイントラネット ゾーンで処理されてしまう
http://www.microsoft.com/japan/technet/security/prekb.asp?sec_cd=MS01-051
https://www.netsecurity.ne.jp/article/6/3014.html


[ Prisoner Langley ]

(詳しくはScan Daily EXpress本誌をご覧下さい)
http://vagabond.co.jp/vv/m-sdex.htm


《ScanNetSecurity》

PageTop

アクセスランキング

  1. ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

    ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

  2. クラウド労務管理「WelcomeHR」の個人データ閲覧可能な状態に、契約終了後も個人情報保存

    クラウド労務管理「WelcomeHR」の個人データ閲覧可能な状態に、契約終了後も個人情報保存

  3. 今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

    今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

  4. 2023年「業務外利用・不正持出」前年 2 倍以上増加 ~ デジタルアーツ調査

    2023年「業務外利用・不正持出」前年 2 倍以上増加 ~ デジタルアーツ調査

  5. クラウド型データ管理システム「ハイクワークス」のユーザー情報に第三者がアクセス可能な状態に

    クラウド型データ管理システム「ハイクワークス」のユーザー情報に第三者がアクセス可能な状態に

  6. 雨庵 金沢で利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信

    雨庵 金沢で利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信

  7. 信和へのランサムウェア攻撃で窃取された情報、ロックビット摘発を受けてリークサイトが閉鎖

    信和へのランサムウェア攻撃で窃取された情報、ロックビット摘発を受けてリークサイトが閉鎖

  8. 「味市春香なごみオンラインショップ」に不正アクセス、16,407件のカード情報が漏えい

    「味市春香なごみオンラインショップ」に不正アクセス、16,407件のカード情報が漏えい

  9. SECON 2024 レポート:最先端のサイバーフィジカルシステムを体感

    SECON 2024 レポート:最先端のサイバーフィジカルシステムを体感

  10. トレーニング 6 年ぶり復活 11/9 ~ 11/15「CODE BLUE 2024」開催

    トレーニング 6 年ぶり復活 11/9 ~ 11/15「CODE BLUE 2024」開催

ランキングをもっと見る
ホーム 製品・サービス・業界動向 業界動向 記事
TOP