《特別座談会》 "セキュリティ三銃士"がそろい踏み!　今ある脅威の知られざる真相を語る第1回

常にどこかで被害が報じられているといっていいほど、ここに来て発生頻度を増している不正アクセス事件。どうしてここまで攻撃者の増長を許しているのか──なかなか語られることのないその真相について、セキュリティの専門家たちが本音で議論を繰り広げるパネルディスカッション(9月13日・東京、9月25日・大阪「マイナビニュース WEBセキュリティセミナー～あの不正アクセスはなぜ起きたのか!?　セキュリティ専門家が事件の裏側を徹底討論～」)が開催される。

これを受けて、まずはパネルディスカッションの"前哨戦"として、登壇予定の3人のセキュリティのプロに、最新のトピックや企業の取り組みの課題などについて意見をぶつけ合ってもらった。興味深いネタが満載となったこの特別座談会の模様を、3回に渡ってお届けしたい。

今そこにある脅威、その1「Apache Struts 2」の脆弱性

ここ数カ月の間にも国内外で大きな事件が相次いでいるのが、Webサイトへの攻撃だ。そこで、最近のWebサイト攻撃の中でも、特に気にかけるべき事象について、NTTデータ先端技術セキュリティ事業部辻伸弘氏、インターネットイニシアティブセキュリティ情報統括室、根岸征史氏、HASHコンサルティング代表取締役徳丸浩氏──3人の登壇者に話合ってもらった。

左からHASHコンサルティング代表取締役徳丸浩氏、NTTデータ先端技術セキュリティ事業部辻伸弘氏、インターネットイニシアティブセキュリティ情報統括室、根岸征史氏

──最近のWebサイト攻撃で、特に気になっているのはどういったことでしょうか?

「Apache Struts 2」の脆弱性が気になるという辻氏

辻氏：やはり「Apache Struts 2」(以下、Struts 2)の脆弱性についてですね。Struts 2は、日本の企業の間でもそれなりに使われているはずなのですが、その脅威について現場の理解がまだまだ浸透していないと危惧しています。今年3月に発生した、メガネ通販サイト「JINSオンラインショップ」への不正アクセス事件も、この脆弱性を突いたものでした。

Struts 2の問題の厄介な点のひとつが、WebアプリケーションサーバーというOSとアプリケーションの中間に脆弱性が潜んでいるということです。どうしても手薄になりがちな部分ですし、検査もやりづらいんですよね。一般的にセキュリティの詳細なテストは、アプリケーションレイヤとネットワークレイヤに分かれていることが多いのですが、"Struts 2"については、どちらのレイヤから見るべきなのか多くの専門家も悩んでいますね。

私としては、ネットワークレイヤから監視すべきだと考えています。どちらからも見る必要はあるというのは当然として、分け方としては、次のような感じです。アプリケーションの場合は企業が作り込んでいて、それを検査するというパターンが多いですが、Struts 2が生成したアプリケーションが果たしてオリジナルかというと微妙なラインです。なので、Struts 2という既存のフレームワークが生み出したものについては、ネットワークレイヤで見るべきじゃないか、というわけです。あと、アプリケーションの検査をすればStruts 2も見ていることになるのでは、と勘違いしている人も多いように感じますね。

攻撃を受けた企業は注意喚起の意味でも、きちんと発表すべきだと語る根岸氏

根岸氏：Struts 2をはじめ、CMSなどフレームワークが狙われることが増えてますよね。しかも、Struts 2についても、この脆弱性が原因で攻撃を受けたと発表しているところがとても少ない。情報漏えいにしても改ざんにしても、なかなか正直にいうことへのリスクを恐れて表に出さないというのが多いですから。ただ、本当はほかの企業に対しての注意喚起の意味でも、きちんと発表すべきだと思います。市場全体がセキュアになるのに貢献もできますしね。

攻撃者は何を考えているのか?──その心理に迫る

──攻撃する側の真理としては、Struts 2の脆弱性を突くにしても、そこに至るまでにどういったことを考え、実行しているのでしょうか。

辻氏：Struts 2の脆弱性が出ていない段階から、攻撃者はGoogleハッキングなどで、Struts 2を使っているであろうサイトのリストをあらかじめ作っておいて、脆弱性が見つかったら順番に攻撃を試す、というやり方が行われていると考えますね。

根岸氏：あとは特定のターゲットが決まっている場合には、そこの情報を事前に調べておいて、"このソフトウェアに脆弱性が見つかったらすぐに攻撃しよう"と待ち構えていることが多いでしょうね。

辻氏：アノニマスなんかがまさにそうですよね。攻撃予告の日に何かするというのではなく、調査、攻撃ができるポイントをあらかじめ見つけていたり、あるいはすでに情報を盗み出していたりというパターンも多いように感じます。昨今の攻撃も脆弱性が出てからいきなりドーンと攻撃、というのはあまりないのでは。

根岸氏：最近は以前にも増して、脆弱性が出てから攻撃されるまでの時間がどんどん短縮されているので、事前に準備して待ち構えているとしか思えないですからね。

SQLインジェクションも相変わらず被害が多いと徳丸氏

徳丸氏：CGI版PHPの脆弱性なんかがそうでしたね。脆弱性が発見されたときは、一体どんなところを攻撃するのか計り兼ねていたのですけれど、2、3日後にはもうレンタルサーバーが軒並みに狙われました。

辻氏：そうでしたね。レンタルサーバーは仕様が同じことが多いので、１つの手口で網羅的に攻撃されやすいんですよね。

徳丸氏：あとはSQLインジェクションも相変わらず被害が多いですね。SQLインジェクションはアプリケーションに対する攻撃なので、セキュリティパッチなどでは防げませんので、ある意味すべての攻撃がゼロデイ攻撃だといえます。ただ、わりと守りやすい脆弱性なのも確かなんですよ、場所が特定しやすいですから。なので大きな企業ではかなり被害が減っているのですが、一方で対策が十分でない小さな企業のサイトが狙われるようになってきています。さらに、そうしたセキュリティの弱いサイトからパスワード情報を盗んで、それが原因でセキュリティの強固なサイトまでもが被害にあってしまうという状況が、現在問題になっているパスワードリスト攻撃(リスト型攻撃)だといえます。

【注】IPA(情報処理推進機構)の2013年8月の呼びかけでも、パスワードリスト攻撃への対策を呼びかけている。

──まだまだ議論は絶えないが、本番となるパネルディスカッションの第1部では、「"ここだけの話"で具体的に解説! Webサイト攻撃事件、3つのパターンと基本対策」というテーマで、より踏み込んだ会話が展開される予定だ。今回取り上げられたStruts 2の脆弱性についても、その場でしか話すことができない具体的な事例や、対策で心がけるべき点などについて明らかにされる予定となっている。今ある脅威の実情とその最適な解決策を知るためにも、ぜひ会場に足を運んでみてはいかがだろうか。