特定の地方自治体のサーバにnetbios共有設定など侵入および悪用の可能性
Scan Incident Report は、特定の地方自治体のサーバに侵入および悪用の可能性があることを発見した。
これは編集部が保有する自治体関連ドメインのデータベースから特定の条件に合致する54の自治体関連ドメインをピックアップし、チェックを行った結果明らかになっ
製品・サービス・業界動向
業界動向
これは編集部が保有する自治体関連ドメインのデータベースから特定の条件に合致する54の自治体関連ドメインをピックアップし、チェックを行った結果明らかになったものである。ピックアップしたドメインの複数で同種の問題が発見されたが、その多くは学校であった。自治体(役所)のドメインは、54件の中では、ひとつであった。
本文中には、具体的な自治体名は記載されていないが、対処のために自治体名は編集部から総務省へ提供された。
>> 概要
特定の地方自治体のサーバで、Windows の netbiosによるファイル共有やルータへのログインがインターネットからできるようになっていた。
パスワードが設定されているため、そのまま利用することはできないが、パスワード推定のツールなどを用いることにより、利用される可能性があった。
本来、ファイル共有やルータへのログインは、インターネットにオープンにする必要はなく、これがオープンされていることは危険な状態といえる。
>> 問題の影響範囲
パスワードが破られた場合、下記のような事態が生じる可能性がある。
・netbios のパスワードが破られた場合
Windows サーバに侵入することが可能となり、サーバ上のファイルを盗むことはもちろん、WEBの改竄あるいはLAN上を流れるデータの盗聴、他のマシンへの侵入、バックドア設置などを行うことができる可能性がある。
・ルータのパスワードが破られた場合
ルータの機種にもよるが、設定を変えることにより、外部からの侵入を容易にすることなどが可能になる。
極端な可能性としては、ネットワークに接続されている全てのマシンを利用可能にするだけでなく、さらにそれらのマシンを踏み台として、それらのマシンが接続されているインターネット以外の別なネットワーク(自治体内クローズドネットワークなど)に侵入することも可能性として存在する。
当該サーバは、LANで共有されていた可能性が高く、このことはこのサーバを踏み台にした内部への侵入の可能性が低くないことを示している。
>> 問題の詳細
・当該自治体の WEB サーバがインターネットから netbios に接続可能であった
・当該自治体が利用しているルータにインターネットからログイン(telnet)することが可能な設定となっていた
なお、当該サーバのバージョンは、IIS3.0という古いバージョンであったことから。サーバのバージョンに起因する脆弱性が存在した可能性もある。
この問題は、特定の条件に合致した54の自治体ドメインに対する調査結果からであり、全国約4千弱の自治体ドメインに対するものではない。
また、今回では対象にしなかったが、複数の学校および外郭団体にも同種の問題が存在する。これらが自治体となんらかのネットワークで接続されているような場合、そこから自治体への侵入を試みることも可能と考えられる。
>> 問題の回避方法
ふたつの問題は、基本的な問題であり、複数の解決方法が存在する。
netbios の問題は、例えば、当該ポートを外部に対して閉じることで容易に回避できる。同じくルータも機種によって設定は異なるが、ログインに利用しているポートを外部に対して閉じることで問題は回避できる。閉じられない場合は、閉じられるルータを購入することで問題は解決できる。
この他にも対処方法は、複数存在する。
>> 情報の取り扱いについて
本情報は、8月5日、編集部から総務省に対して情報提供を行った。
>> 関連情報
SCAN Security Alert 2K2-004 自治体サーバ実態調査結果から見る危険性
(2002.7.8)
https://www.netsecurity.ne.jp/article/1/5858.html
Scan Incident Report
http://vagabond.co.jp/c2/
《ScanNetSecurity》