【SCAN Security Alert #1 co.jp 実態調査結果に見る日本、イスラエル、米国の違い】

　本記事は、SCAN 編集部が実施した co.jp サーバ実態調査の結果について、イスラエル SecuriTeam との間での英文メールのやりとりしたものを翻訳し、原稿におこしたものである。

◇「SCAN Security Alert」を発表！〜Scan Security Wireが国内企業サーバのセキュリティ実態を調査〜(2002.3.12)
https://www.netsecurity.ne.jp/article/1/4298.html

>> サーバで危険なサービスは3つ、この他にCGIなどカスタムアプリケーションも脆弱性になる可能性

編集部：セキュリティホールがFIXされていない脆弱なサーバを運用すること　　による危険として考えられるのことについてお聞かせください。特に OS 　　と Webサーバアプリケーションのバージョン関連して考えられることを教　　えてください。

SecuriTeam：一般に、セキュリティ上の脆弱性は、サービスを外部に開放することによって「作られる」。最も安全なサーバとは、外部に何のサービスも提供しないサーバである。ファイアウォール以外のサービスは実行しないよう、ファイアウォールを設置するのはそのためである。

　しかしほとんどの場合、ファイアウォールしか稼動させないというのは非現実的（サーバでサービスを提供しないのであれば、なぜサービスをインターネットに接続する必要があるのか）であり、サービスを外部に開放した瞬間、サーバが攻撃にさらされることになる。

　具体的には、以下のサービスが特に危険だと考えられている。

1) オープンシェア（ファイルの読み出し／書き込みが可能となるため）。
2) 脆弱性に関して「悪い」履歴を持つ旧式サービス（例えば、rlogin、rshなどUNIXを使った多様なr*サービス）。
3) リモートログインを許可するサービス（telnet、ssh、pcanywhereなど）。
このようなサービスは、弱いパスワードを狙われやすい。弱いパスワードを「推測」できる攻撃者は、サーバにリモートでログインし、支配できることになる。

　上記以外のWebサーバやメールサーバなど非常に基本的なサーバでさえ、脆弱となる場合がある。その理由は、以下の2つである。

1) サービスレベルの脆弱性。例えば近年、MicrosoftのIIS Webサーバは、プログラムバグのために脆弱であると度々指摘されてきた。バグによっては、攻撃者がバッファオーバフローやキャラクタエンコーディングなどのテクニックを使って、サーバを完全に支配できる。これは、外部にサービスを提供するサーバで動作する他の多くのアプリケーションについても言えることである。
2) カスタムアプリケーションの脆弱性。Webサーバの基本機能に何か（例えば、ASP／CGIなどのサーバサイドスクリプト）を追加した場合、それがサーバの危険を増すセキュリティホールを含む可能性がある。「SQL injection」攻撃は、カスタムスクリプトで非常に一般的な脆弱性の1つである。これは、攻撃者がカスタムアプリケーションの非常に小さなプログラミングバグを悪用してデータベースにコマンドを実行し、時にはデータベース上の本来は機密の情報にまでアクセスするものである。この脆弱性には、Apache Webサーバなど安全として知られるサーバを使っている場合に、特に注意が必要である。Webサーバが安全であっても、企業によるカスタムメードの脆弱なアプリケーションを追加すれば、サーバ全体が攻撃に対して弱みを持つことになる。

　SANSは、特に狙われやすい上位20の脆弱性を「トップ20」リストとして発表している。 http://www.sans.org/top20.htm を参照されたい。

>> Apache 1.3.14 以前ではバーチャルホスティング利用者の利用できる脆弱性の事件が多い

編集部：今回の調査結果をご覧いただいて、米国とイスラエルで使用されているOS、Webの仕様／バージョンと、日本で使用されているものとの間に違いについて、教えてください。

SecuriTeam：イスラエルでは、Microsoftが非常によく市場に浸透しているため、Microsoft対応のソリューションが広く使用されている。したがって、IISサーバの割合が高く、Apacheの割合は低い。Linuxは、比較的「進んだ」管理者が、最新のソフトウェアバージョンとともに使用することが多い。

　米国では、Apacheが普及している。netcraftによると（ http://www.netcraft.co.uk/survey/ ）、Apacheが総サーバ数のほぼ54%、アクティブなWebサイトの65%以上に使用されている。

　バージョンに関しては、どのバージョンが使用されているのかの推測が難しい。しかし、何千、何万ものマシンでセキュリティに対する脆弱性スキャンを行ってきた経験から言うと、旧いバージョンが広く使用されているようだ。
　しかし、Apache Webサーバは、比較的長期間にわたってまずまずの安全性を維持しており、旧いバージョンでも正しく設定すれば比較的安全である。

　1.3.14より前のバージョンには、セキュリティ上の脆弱性が多い。下記のWebサイトを参照されたい。
http://www.securiteam.com/securitynews/5FQ010A1PM.html
http://www.securiteam.com/securitynews/6A00S0A00Y.html
http://www.securiteam.com/exploits/5JP0G204KG.html

　上記のサイトに示された脆弱性はすべて、Apacheの特定の設定のもとで発生するため、旧いバージョンすべてが該当するわけではない。したがって、それらのバージョンの使用には心配があるものの、通常、差し迫った危険はない。

　バーチャルサーバなどマルチユーザ環境の場合、多くのWebサイトオペレータが重大なセキュリティホールを残しており、20ドル払ってそのサーバでバーチャルWebサイトを持ったユーザがそのWebサイト全体を乗っ取ったり、同じサーバ上の他のバーチャルWebサイトにアクセスしたりするケースが多数、確認されている。これは、悪いサーバ設定か、Webサーバ自体のセキュリティホールではなくカスタムメードの危険なスクリプトに起因することが多い。

（詳しくはScan本誌をご覧ください）
http://shop.vagabond.co.jp/m-ssw01.shtml