The Hacker Newsはこのほど、「Protecting Your Microsoft IIS Servers Against Malware Attacks」において、Webサーバ「Microsoft IIS」をマルウェアの脅威から保護する実用的な対策について伝えた。
The Hacker Newsによると、北朝鮮の持続的標的型攻撃(APT: Advanced Persistent Threat)グループであるLazarusの最近の活動の多くは、脆弱なMicrosoft IISサーバを発見し、攻撃することに焦点を当てているという。Microsoft IISサーバにはセキュリティ機能が組み込まれているが、有効に機能させるためには常に最新の状態に保つ必要がある。Lazarusは最新の状態に保たれていないサーバを積極的にスキャンしてこれを発見・侵害し、時には侵害したサーバの信用を悪用してマルウェアを配布するなどの活動を行うとされる。このような脅威からMicrosoft IISサーバを保護するには、常にサーバを最新の状態に保ち、脆弱性を未然に発見して対策することが重要となる。
The Hacker Newsは、このような脅威からMicrosoft IISサーバを保護するための対策として、以下を提示している。
- 自動的にソフトウェアを最新のバージョンに保つ効果的な更新管理を実装する
- サーバ環境で実行されるすべてのソフトウェアのインベントリを正確かつ包括的に取得する更新管理ソリューションを使用して、情報管理部が認知していない機器やソフトウェアのアップデートの欠落を回避する
- サービスアカウントには最小権限の原則を適用して、Microsoft IISサーバ上のサービスが必要最小限の権限で動作するようにする
- 侵入検知システム、ファイアウォール、データ損失防止ツール、仮想プライベートネットワークなどのログとMicrosoft IISサーバのログを分析し、横方向の移動と予期しないエラーメッセージを検出する
- Lazarusなどのサイバー攻撃者が注目する高度な攻撃や回避テクニックを検出できる専用のエンドポイント検出ツールを使用してエンドポイントを強化する
- システムの互換性の問題、インストールの中断、ソフトウェアの競合など、ソフトウェアの更新が失敗することがあるため、更新を適用したあとにその機能を検証する
The Hacker Newsは上記の対策に加え、ペネトレーションテスト提供サービス(PTaaS: Penetration Test as a Service)による継続的な侵入テストを行うよう推奨している。一般的にWebアプリケーションは新機能の開発など何かしらの開発が行われていることが多く、Webアプリケーションの構成などに変更が加えられるたびにセキュリティを再評価する必要がある。
このような場合、継続的なペネトレーションテストは脆弱性を未然に発見する機会を与えてくれる。Lazarusのような攻撃グループからMicrosoft IISサーバおよびその利用者を保護するため、このような対策の実践が望まれている。