OCNレンタルサーバサービスに情報漏洩など複数のセキュリティ問題
Scan編集部では、レンタルサーバ業界大手の「OCN」に、情報漏洩などの危険性があったことを発見した。ここにその概要を発表する。なお、今回発見された危険性は、この発表に先駆けOCN側に報告を行い、現在では対処済みとなっている。
発見された脆弱性は、レンタルサ
製品・サービス・業界動向
業界動向
発見された脆弱性は、レンタルサーバを攻撃するための一般的な攻撃手法「レンタルサーバクラッキング」を可能とするものであった。この攻撃方法では、レンタルサーバを利用している多数の利用者のデータを盗んだり、改竄したりすることができる。
これまでの期間、OCN のレンタルサーバサービス利用者は、この危険性を全く知らずに甘受していたことになる。
>> 脆弱性の発見された経緯
編集部が発行するScan Security Managementにおいて、レンタルサーバ(ホスティングサービス)のセキュリティや使い勝手を比較する連載企画を進めていた。最初に取り上げたのが、「OCN」である。
OCNは、エヌ・ティ・ティ・コミュニケーションズ株式会社の提供するインターネット関連サービスの名称で、接続サービス、レンタルサーバサービスなど総合的なサービスを展開している。また、セキュリティに配慮したサービスとしても広く知られている。
今回の問題点は、連載記事作成の過程で発見されたものである。
今回発見された問題は大きく分けて2点。
>> CGIを踏み台とした典型的な「レンタルサーバクラッキング」脆弱性
まず1点目は、「レンタルサーバクラッキング」あるいは「$20 virtual web server hack」といった言葉で知られる問題である。
レンタルサーバの利用者がCGIを使って他の利用者のデータを盗んだり、改竄したり、データセンター内部に侵入したりすることのできる脆弱性である。
レンタルサーバ攻撃手法としては、もっともよく使われる方法であり、編集部では、1年以上前にその危険性について指摘を行なってきた。OCNには、この脆弱性が存在していた。
レンタルサーバ・クラッキング脆弱性のもつ2つの危険性(2002.5.8)
https://www.netsecurity.ne.jp/article/1/5044.html
サーバ設定のミス バーチャルホスティング約2000ドメイン情報漏洩の危険(2002.4.24)
https://www.netsecurity.ne.jp/article/1/4913.html
具体的にいうと、今回の問題は、パーミッション設定の問題である(ここでは詳細を公開することは控える)。
このことにより、利用者本人以外のユーザディレクトリを閲覧、改竄できてしまう状態であった。
>> 認証ページの情報も閲覧可能
>> 改ざん可能と思しきなファイル/フォルダが約4,500個−
また、たとえユーザがBasic認証などを使用したディレクトリを作成していたとしても、そのディレクトリの中身およびパスワードファイルを閲覧することが可能であった。同様の理由により、利用者本人以外のユーザのデータを改竄することも可能であった。
改ざん可能と思われるファイルやフォルダは約4,500個発見された。なお、この数字は編集部が確認した範囲のものである。
なお、これらの危険性はユーザが自らファイルのパーミッション設定を適切に行った場合は回避することが可能である。しかし、問題を発見した当時のOCNのCGIサポートページには、パーミッションに関する設定例などの記載はされていなかった。また、同様にディレクトリのパーミッションを変更することでも危険性は回避されるものであるが、そのことについても、サポートページでは記載されていなかった。そもそもBasic 認証が無効化されることを予想する利用者は少ないと思われる。
(現在、デフォルトでのパーミッション設定は適切なものに変更されている)
>> 脆弱性の残るアプリケーションが稼動
次に2点目。これは使用されているアプリケーションの問題である。あるアプリケーションはバージョンが著しく古いものを稼働させていた。このアプリケーションは、直接インターネット越しに攻撃可能なものではないが、今回のようにCGIを踏み台にすれば攻撃することができる。
この点に関しては、OCNは、運用上は脆弱性の影響を受けないものとしている。インターネットから直接攻撃可能なアプリケーションのメンテナンス、バージョンアップを優先させたための結果であるとのOCNからのコメントをいただいている。
<OCNよりのコメント>
───────────────────────────
弊社では、ソフトウェアのバージョンアップは、全体のプライオリティを考慮しながら実施しております。
ここで、自社サーバの場合は自身のリスクでバージョンアップを行っていくことができますが、ホスティングサービスの場合は、様々な使い方をされている多数のお客様に対するサービスへの影響の回避とセキュリティリスクとの兼ね合いを考えながら迅速かつ慎重に進めていく必要があります。
特に、互換性のないようなバージョンアップを行う場合には、お客様側で対応可能なスケジュールで進めていく必要があるなど、通常のサーバに比べて対応に時間を要することが避けられません。
このため、複数のソフトウェアに脆弱性が発見された場合には、その重要度や危険度を考慮しながらよりリスクの低い形で対応していく必要がございます。
一般的に、ウェブサーバやメールサーバなど、お客様にとってより重要なソフトウェアは、直接的にリスクに晒される可能性が高く、実際にこれらのサーバに対しては日常的に攻撃が繰り返されている事を確認しております。
このため、これらのソフトウェアを優先して対応する必要があり、実際にここ1年間でも複数回のバージョンアップを実施しております。
以上のような状況により、ご指摘のソフトウェアに関しては、攻撃のリスクは認識しておりましたが、攻撃の手順が比較的煩雑であること等から他のソフトウェアの対策を優先しており、結果としてご指摘のソフトウェアの対策に至っておりませんでした。
今回ご指摘頂いたセキュリティリスクがあることは事実でしたので、これを真摯に受け止め、予定を繰り上げて検討・検証を行い、対策を取らせて頂きました。
また、今後更に安全性を高めるための対策も検討していきたいと考えております。
───────────────────────────
>> 大手レンタルサーバ事業の脆弱性はサイバーテロの標的となる可能性
先般終結したイラク戦争では、サイバーテロ活動が活発に行なわれた。中でも大量の被害を出したのは、レンタルサーバ事業者をねらったWEB改竄である。
クラッカー USG の改竄被害 1分間に3から4サイトが改竄 単一IPに集中(2003.3.21)
https://www.netsecurity.ne.jp/article/1/9227.html
イラク戦争に関連した攻撃への自衛のための注意喚起(2003.3.22)
https://www.netsecurity.ne.jp/article/1/9234.html
今回発見された脆弱性は、こうしたサイバーテロによる大量改竄を受ける可能性を含んでいる。仮に、複数の大手レンタルサーバ事業に同様の問題が存在した場合、イラク戦争の際のような短期間でのWEB改竄攻撃が行なわれる可能性は否定できない。
始動する Telecom-ISAC Japan(2003.2.14)
https://www.netsecurity.ne.jp/article/1/8712.html
大量無差別攻撃に無防備なサイバーテロ対策 その2(2001.10.30)
https://www.netsecurity.ne.jp/article/7/3147.html
>> 迅速な対応と情報公開 報告後の対応−約1週間で対処が完了
今回の件について、編集部からOCNへ報告を行ったわけだが、約1週間で対処が完了したとの報告を受けた。その抱えるユーザ数やOCN自体の企業規模から考えると非常に素早い対応であったと思われる。この記事の発表と時を同じくして、OCNからもこの件に関する告知が行われているはずであり、情報公開という観点からも評価に値する。
どの企業においても"完璧"というものは存在しないと思われる。今回の発見された脆弱性はOCNレンタルサーバサービス利用者にとっては、きわめて深刻なものであるが、外部からの指摘を真摯に受け止め、迅速に対応し、情報公開する、という姿勢は十分評価に値し、また他社も見習うべきであろう。
OCNのインシデント対応体制については、過去のインシデントでもその対応能力について高い評価がなされている。しかし、昨年に続き今年も多数の利用者に影響のでる脆弱性が発見されており、セキュリティ問題の発見とその影響度評価については、課題が残るといえる。
今回の件に関するOCNの告知ページ
http://www.ocn.ad.jp/techinfo/secinfo/20030526/
【マンスリーレポート 2002/04】
インシデント事後対応 ベストはNTTコミュニケーションズ(OCN)(2002.5.20)
https://www.netsecurity.ne.jp/article/1/5205.html
>> サービス提供者とユーザとの観点の違い
今回の問題は、ユーザに提供するアプリケーション(サービス)の管理および環境の管理に起因するものだった。これらの問題は、サービス提供者側とユーザ側では見解の分かれるナイーブなものである。サービス提供者側は「1対全ユーザ」で見なければならないのに対し、ユーザ側の観点では「1対1」である。しかし、当然のことながら鍵を握るのは提供者側である。提供者のさじ加減ひとつで、ユーザは危険にも安全にもなりうるのである。確かに、全ユーザを見なければならないため、どこかを優先させると、どこかで不具合が発生することもあるだろう。ならば、そのことをあらかじめユーザに示しておくことも必要なのではないだろうか。そのような方針を明示した上で、ユーザに判断をまかせる、というのが本来のあり方だと思われる。
レンタルサーバ業者によって違う利用者のデータ保護(2002.9.26)
https://www.netsecurity.ne.jp/article/1/6808.html
OCNは業界大手でもありその抱えるユーザ数が著しく多いことは想像に難くない。そのため、今回の問題発見ではユーザへの影響を考慮し、詳細を一般に公開することは控えている。詳細については、Scan Security Managementの明日(5月27日)発行号からの連載記事、またScan WEB Securityの来週(6月2日)発行号からの連載記事の中で掲載される。
Scan Security Management
http://shop.vagabond.co.jp/m-ssm01.shtml
Scan WEB Security
http://shop.vagabond.co.jp/m-sws01.shtml
<その他参考>
◇co.jpドメイン サーバ実態データベース 2003年上半期
http://shop.vagabond.co.jp/p-cod02.shtml
◇【国内co.jpドメイン調査】不正中継ホストの上位はレンタルサーバ業者が占める(2003.5.21)
https://www.netsecurity.ne.jp/article/1/9929.html
《ScanNetSecurity》
アクセスランキング
-
今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃
-
雨庵 金沢で利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信
-
GROWI に複数の脆弱性
-
クラウド型データ管理システム「ハイクワークス」のユーザー情報に第三者がアクセス可能な状態に
-
2023年「業務外利用・不正持出」前年 2 倍以上増加 ~ デジタルアーツ調査
-
セトレならまちで利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信
-
KELA、生成 AI セキュリティソリューション「AiFort」提供開始
-
インターネット専用宝くじで当選本数の登録誤り、1 等 200 万円 10 本が 200 本に
-
社員のセキュリティ意欲高める施策とは? 罰則は逆効果 ~ プルーフポイント「2024 State of the Phish」日本語版公表
-
メール誤送信事故多発で悪名高いドッペルゲンガードメイン「gmai.com」はどこの誰が保有しているのか?