【マンスリーレポート　2003/05】OCNによる「業者の規模に拠らない」迅速な事後対応

　レンタルサーバ業界大手の「OCN」に、情報漏洩などの危険性があったことが判明した。
　現在、多くの企業が自社でサーバを構えずに、外部のISPやデータセンターなどの業者に委託するアウトソーシングを行っている。レンタルサーバ業者のサーバに脆弱性があるとなれば、一社のみならず広く社会に影響を及ぼしかねない事態にまで発展することもあるだろう。インシデントを事前に防ぐ最善の努力をすること。生じてしまった後には速やかに対応を行うこと。これらはレンタルサーバ業者の義務であるが、本件に対するOCNの対応は非常に迅速であった。

>> レンタルサーバクラックと、旧バージョンアプリの使用

　今回、OCNで発見された脆弱性。その1つ目は、「レンタルサーバクラッキング」あるいは「$20 virtual web server hack」と称される類の問題である。

　レンタルサーバの利用者がCGIを使うことにより、他ユーザのデータ盗聴、改竄、データセンター内部への侵入などが可能となる脆弱性だ。今回発見された改ざん可能と思われるファイルやフォルダは約4,500個。問題の原因はパーミッション設定にあり、たとえユーザがBasic認証などを使用したディレクトリを作成していた場合でも、そのディレクトリの中身やパスワードファイルを閲覧することが可能であった。

　もう一点は、アプリケーションのバージョンに関与するもの。使用していた旧バージョンのサーバ運用・保守用ソフトウェアは、直接インターネット越しに攻撃可能なものではないが、今回のようにCGIを踏み台にすれば攻撃することができる。

>> 約1週間で対応完了

　本件については、編集部からOCNへ一報を入れてから約1週間程で、対応が完了している。

　業者の規模が大きければ大きい程、その対応に時間を割かれることとなるが、今回のOCNの対応は非常に迅速かつ、きめの細かいものであったと評価したい。パーミッションの設定、アプリケーションのバージョンアップ、これらに伴う社内連携と告知。さらにパーミッションの設定においては、自社内で完結することではなく、ユーザの側にも対応をお願いしなければならない問題である。告知→ユーザが認知→ユーザが対処　というフローを辿ってはじめて完了といえるものであり、それゆえ告知に至るまでの対応に迅速さが求められることになる。以下、一報から対応までの業務分担について、OCNに伺った。

＝＝＝＝＝＜以下、OCNコメント＞
　御社からご一報いただいてから、意思決定・対応に関して、開発、運用、お客様サポート等の各部門からなるプロジェクトチームにより実施させていただきました。

　対処の決定にあたっては、即応を基本として、お客様への影響を慎重に確認した上で実施するという前提で進めてまいりました。

　ご指摘の通り、今回の件では検討すべき事項が多岐に渡っておりましたので、各部門の協力の元、事実確認、リスクアセスメント、対策の検討、検証、実施といった作業を分担して進めてまいりました。
＝＝＝＝＝

　一方、対応の迅速さについては、以下のようにコメントを頂いた。

＝＝＝＝＝＜以下、OCNコメント＞
　弊社としては当然取るべき対応を行っただけと考えておりますが、強いて言えば、上記の通りプロジェクトチームによる組織的な対応を行ったことが、御社から迅速であると評価していただける結果に繋がったのではないかと思います。
＝＝＝＝＝

[ Prisoner DAMLAK ]

（詳しくはScan Security Managementをご覧ください）
http://shop.vagabond.co.jp/m-ssm01.shtml

──────────────────────────────〔Info〕──
Scan Monthly Report　Best Worst
http://shop.vagabond.co.jp/p-sbw01.shtml

ネットワークセキュリティ・インシデント年鑑2003
http://shop.vagabond.co.jp/p-inc02.shtml
───────────────────────────────────