企業のITインフラやさまざまなITサービスを実現するうえで「サーバ」は欠かせない存在で、企業が求めるIT人材として知っておきたい必須知識の1つでもあります。
本連載では、「サーバとはいったいどのようなものか?」に始まり、利用方法や種類などの基礎的な知識とともに、セキュリティ対策や仮想化、サーバレスなど効率的にサーバを利用・管理するうえでのポイントといった、情報システム担当者の実務に役立つ話題を紹介していきます。
連載第8回は、インターネットイニシアティブ(IIJ)の今井健さんに、近年、増加し続けているサイバー攻撃を例に、サーバのセキュリティ対策のポイントについて解説してもらいます。
「情報漏えいを伴わない」セキュリティインシデントが発生中
一口にサーバと言っても、その役割はさまざまです。組織内で個人データを扱うものや、いわゆるコーポレートサイトのWebサーバのような情報公開を目的としたものもあります。
「盗まれて困る情報はない」ということで、サーバセキュリティに対して消極的な考えをお持ちの方もいらっしゃるかと思います。しかしながら、情報漏えいを伴わないセキュリティインシデントが国内でも数多く発生しており、これまで問題がなかった企業・組織もサーバのセキュリティについて再考すべき時期に来ていると考えます。
今回は、サーバのセキュリティに関して、「外部からの悪用」「リモートメンテナンス」「クラウドサービス利用」の3つにポイントを絞って事例を交えて説明します。
マルウェアに悪用されるサーバ、脆弱性対応が一番の対策に
読者の皆さんは、報道などでEmotet(エモテット)というマルウェアの話を見聞きしたことがあるかと思います。
サーバセキュリティに関する話にEmotetが登場することに違和感を覚える方もいらっしゃるかも知れませんが、Emotetとサーバセキュリティには大きなつながりがあります。
Emotet拡散をねらったメールには、Emotet本体をダウンロードし、実行するための悪性のファイル(多くはWordやExcelなど)が添付されています。
悪性のファイルのマクロを有効化することで外部のサーバからEmotet本体がダウンロード、実行されるのですが、実はこの外部のサーバは攻撃者が用意したものではなく、攻撃者とは無関係な第三者が運営するWebサーバなのです。
いずれもCMS(Contents Management System)のプラグインの脆弱性を悪用するなどして、運営者の意図しないところでサーバにEmotetが配置され、攻撃に悪用されています。
つまり、脆弱性を放置することによって、加害者に仕立て上げられるということになります。
マルウェア設置サーバの情報はセキュリティ専門家の間で共有され、ISPやホスティング事業者からサーバ運営者に通知されることが多いのですが、その後の対応は運営者によって異なります。
サーバを非公開としたうえで根本原因を取り除き、コンテンツの再構築を行ってサイトを再開する運営者もいれば、改ざんの原因となった脆弱性などの対処を行わず、設置されたマルウェアを削除しただけで対応を終わらせてしまい、その後再び、改ざん被害を受けるケースなどもあります。改ざんの原因を明らかにし、再被害を受けることがないよう対処することが重要となります。
マルウェアの設置に限らず、不審サイトへの誘導に悪用されるなど、外部公開系のサーバの改ざんは日々発生しています。このような被害を受けないために必要な対策としては、以下が挙げられます。
- 脆弱性診断を実施することにより現状の問題点を把握する
- サーバに導入されたソフトウェアを把握し、脆弱性情報を収集する体制を整える
- 緊急度に応じた修正プログラムの適用が可能な体制を整える
- Webアプリケーションが稼働する場合は、WAF(Web Application Firewall )の導入により、脆弱性悪用のリスクを軽減する
- 改ざん検知システムを導入する
SQLインジェクションに代表されるようなWebアプリケーションの脆弱性を悪用する攻撃も日常茶飯事ですが、WAFの導入ですべての攻撃を防ぐことは困難です。泥臭い運用にはなりますが、脆弱性対応を着実に行うことが一番の対策となります。
改ざん検知に関しては、インターネット側からのクロールによって行われるものと、サーバ内部のファイルの差分により検知するものがあります。外部からのクロールによる改ざん検知では、トップページからのリンクが存在しない場合(前述したマルウェアなど)は検知できない、という特徴もあるのでご注意ください。
メンテナンス経路に存在する機器に不備はないか?
保守業者などによるリモートメンテナンス経路は、閉域網経由であったり、インターネット越しであったりとさまざまな形態があるかと思います。十分にメンテナンス経路の安全性が確保できておらず、外部から不正侵入され侵入型ランサムウェアなどの被害を受けることもあります。
例えば、SSL-VPNによってメンテナンス経路をベンダに提供していたところ、VPN終端装置の脆弱性の悪用により認証情報が窃取され、社内ネットワークに不正侵入を受けるケースが日本国内でも多く発生しました。これは任意ファイル読み取りの脆弱性で、脆弱性の悪用により遠隔の第三者が認証情報を含むファイルを取得することができるというものでした。
2019年に脆弱性を悪用する攻撃が観測され、2020年には同脆弱性の悪用により窃取されたと見られる認証情報が海外の掲示板で公開されるという事案も発生しています。その後、公開された認証情報を使用したと思われる不正アクセス事案が継続的に発生しました。
2019年以降、さまざまな組織から同脆弱性に対する注意喚起が行われていましたが、脆弱性を放置した組織や、脆弱性に対処したもののパスワードの変更を行っていなかった組織が被害を受ける結果となりました。
脆弱性が放置されていた組織では、VPN装置の脆弱性運用をベンダに任せていたつもりが、当のベンダは脆弱性運用を自らの責任範囲と認識しておらず、結果的に不正侵入され被害を受けたというケースもあります。
そのため、脆弱性対応を誰が行うのか、責任範囲を明確にすることも重要です。
脆弱性に限らず、設定不備により不正侵入を受けることもあります。ネットワーク制限の不備などによってWindowsリモートデスクトップが意図せずインターネットに公開状態となり、総当たり攻撃などによって外部からの侵入を許してしまうケースもあります。サーバへのリモートメンテナンス経路においてこのような被害を受けないための対策は以下の通りです。
- メンテナンス経路に存在する機器を把握し、脆弱性対策を適宜実施する
- 認証においてはID、パスワードのみではなく、多要素認証を積極的に導入する
- 多要素認証の導入が困難な場合は、単純なパスワードではなく推測されにくい長いパスワードを使用する
意外と多い、クラウドサービスの単純ミスと設定不備
クラウドサービス利用において気を付けたいポイントは設定不備です。とあるSaaSサービスでは、Webページ作成時に初期状態でゲストユーザがアクセスできる仕様になっており、本来公開すべきでない情報が漏えいしたという事案が発生し、大きなニュースとなりました。実は、管理者が認証を有効にしていたつもりでも、この初期状態の設定を見逃していたのです。
クラウドストレージにおける情報漏えい、コンテンツ改ざんも後を絶ちません。単純な設定ミスが多く、例えば、アクセス許可の対象を全てのユーザに設定していた、もしくはすべてのリソースに対してアクセス許可を行っていた、などの事例があります。いずれも単純ミスですが、単純ミスがセキュリティ侵害につながるケースは意外に多いものです。
設定不備により第三者からのデータの読み取りが有効になり、機密情報が漏えいする事例も後を絶ちません。第三者からの書き込みが有効になっていて、多くのクラウドストレージ内のコンテンツが一斉に悪意ある第三者により改ざんされるという事象も過去に発生しています。
ECサイトなどで利用者が入力した情報(クレジットカード情報など)を窃取する手法としてWebスキミングというものがあります。これには、Webサイトを改ざんし、不正なJavascriptを挿入することでユーザが入力した情報を外部に送信する、という手口も含まれます。
不正なJavascriptの挿入の対象として、アクセス制限の設定不備のあるクラウドストレージが一斉にねらわれるという事象が2019年ごろに発生しています。
設定不備は、設定項目の多さやクラウドサービスの仕様に対する理解不足などから発生することが多いようです。そのため、設定不備を自ら発見、修正するのは困難であると言えます。
このような設定不備を第三者観点で診断することで対策につなげるサービスが各社から出ていますので、クラウドサービスを利用する際、もしくはすでに利用している場合でも、一度診断を実施することをお勧めします。
今井 健(いまい たけし)
2010年IIJ九州支社に入社。IIJのクラウドサービスであるIIJ GIOを活用したSI案件などを手掛けた後、現部署に配属となる。脆弱性などのセキュリティ情報の提供をはじめとして、お客様のセキュリティ運用をサポートする業務に従事。
インターネットイニシアティブ 九州支社 技術部 サイバーセキュリティサービス課