サーバOSの脆弱性対策 (1/3)

TOP＞サーバ構築・運用＞クラックの最大要因とは

サーバOSの脆弱性対策

パッチ適用を自動化せよ！
著者：クワンティ寺澤陽一郎 2007/6/27

クラックの最大要因とは

ホームページの改竄やサービスの停止、フィッシングサイトや顧客情報漏洩など、「クラック」と呼ばれるサーバへの不正侵入に関する犯罪は、常に重大な問題となっている。有効な対策の1つとしてパッチ適用によるOSおよびアプリケーションの脆弱性対策があげられるが、運用保守面での課題も多い。

今回は、クラックの最大要因である脆弱性とその対策であるセキュリティパッチについて、パッチを適用しない危険性とサーバ運用・保守の現状と課題を再認識し、有効なパッチ適用ツールを紹介する。

パッチ適用の重要性

最近、アプリケーションレベルのクラック率がOSレベルのクラックと比較して急増してきており、注目されている。しかし、従来から問題とされているOSの脆弱性を突くクラックの数は、以前よりもさらに増加しており、いまだに改善されていない。

インターネットサーバへの不正侵入のほとんどは、セキュリティパッチの適用を怠ったことが原因となっている。OSやシステム開発・構築で生み出してしまったアプリケーションの脆弱性などは、いずれも修正プログラムの反映、つまりOS同様に修正プログラムのパッチ適用が、現在もっとも有効な対処方法である。

OSのパッチを適用しない危険性

   パッチを適用しない危険性は、「玄関のドアだけ施錠し、窓は開け放ったまま外出すること」に似ている。実生活においてそのような状況は、問題がわかりやすく早急な対策が必要だと理解されやすい。しかしサーバとなったとたん、その危険性は放置されがちなのが現状である。

   その危険性はデータを見れば一目瞭然だ。2005年末に米国セキュリティ会社が発表した調査レポートでは、インターネットに接続されるシステム全体の約70%が脆弱性未対策であると報告している。また、対策をとっている約30%のシステムでも、脆弱性半減期（脆弱性の公知から対策を講じ、脆弱なシステムの数を半数にまで減らす期間）に19日を要しているという。

   サーバへの攻撃は、脆弱性発見から19日以内にその8割が集中している。この期間を短くすることが、セキュリティにおいて重要な点になる。

   次に、警察庁のサイバーテロ対策技術室から常に最新情報が発表されるレポートを見てみよう。2007年4月期における日本の警察機関のサーバに対する攻撃は増加傾向にあり、攻撃手法はワームとポートスキャンの2つで99.1%が占められているという。

   これらのほとんどは脆弱性を狙ったものであるという。米国でも、日本においても脆弱性を狙った攻撃は絶えないのが実情である。注意しなければならない点は、ファイアウォールと侵入検知システムでは、すべての攻撃は防げないということだ。そのため、脆弱性のパッチ適用が重要になってくる。

一般的な不正侵入方法

もっとも一般的な不正侵入方法は3ステップで行われる。

ステップ1: 「ポートスキャン」でOSの詳細情報を調査。この時に攻撃者は脆弱な部分を把握。
ステップ2: 把握した脆弱性に対する攻撃プログラムを実行し、侵入と同時に管理者権限を奪取。
ステップ3: 侵入形跡の記録消去と目的の達成。さらに今後いつでも容易に再侵入できるようバックドアを作成。

表1：不正侵入方法

   ステップ1のポートスキャンを検知し、侵入を防止することがファイアウォールや侵入検知システムの役目であるが、実に巧みに侵入するポートスキャンツールも存在する。そして驚くべきはこの3ステップを自動で行うRootkitという攻撃用ツールがインターネットから入手できることである。

   筆者は実際にOSの脆弱部分から不正侵入されフィッシングサイトを仕掛けられたインターネットサーバユーザの事件解決に関わったことがある。発覚は米国のITセキュリティ会社から「大手金融会社のホームページがまねられ、被害が出ている、すぐのサイトを閉じるか該当サーバの通信を切断しなさい」という1本の国際電話だった。

   その後、金融会社所有の商標の無断使用と詐欺の疑いでサーバ操作履歴と通信履歴の保持および米国連邦捜査局の犯罪捜査に協力されたしとの通知があった。サーバ運用のリスク面を軽視しパッチ適用を怠っていたツケだ。繰り返しになるが、これは他人事ではなく前述したようにシステム全体の85%が今もその状態にある。

懸念されるパッチ適用の重要性に対する意識の低さ

あるセキュリティ関連セミナーで、クラック事例とクラック方法の説明後、自社インターネットサーバの脆弱性に関して、以下3つの内からいずれか1つの選択を求めるアンケートを行った。

帰社後すぐに自社のパッチ適用状況を調べて対処する、または担当部門に確認しパッチ適用まで見届ける
担当部門にいってはみるが、おそらくできていないし、できないだろう
担当部門がやっている（はず）なので特になにもしない

表2：自社インターネットサーバの脆弱性に関する簡単なアンケート

この中で1を選択した人は、実に5%にも満たなかった。圧倒的に意識の低さが明確になった結果といえよう。さて、あなたは？

1 2 3 次のページ

著者プロフィール
クワンティ株式会社寺澤陽一郎
代表取締役
日本システム技術（JAST）にて大型汎用コンピュータの業務システム設計・開発、Windows NT・ORACLE利用の業務ソフトウェアパッケージの企画・業務分析・設計・開発・ユーザ教育・運用保守・バージョンアップまでのライフサイクル全て経験。2000年クワンティ株式会社設立、代表取締役就任。産学協同でオープンソース（Linux）利用と安全性向上を研究・製品開発でオープンソースの普及とビジネス利用に貢献。