第3回　改ざんのリスクを最小限に抑えるには（前編）

今回の主な内容 はじめに Webページ改ざんの手口 ファイアウォール／要塞化では防ぐことのできない攻撃をどのように防ぐのか？ 　侵入検知システム（IDS）の意義 　ネットワークベースIDSによるパケットの監視 　ホストベースIDSを利用したWeb改ざん検知

株式会社ラック
不正アクセス対策事業本部
製品担当チーム
2001/3/28

はじめに

　2000年は新年早々Webサイト攻撃の嵐が吹き荒れた年となった。

　1月には官公庁Webページ改ざん事件、さらに2月には著名Webサイトを狙った使用不能攻撃が横行した。そのような事件がマスコミをにぎわしてから半年たち、騒ぎも一段落したと思われた9月に、またもや大規模なWebページ改ざん事件が起こった。50近くのWebサイトの内容が、犯人によって米国Napster社を擁護するメッセージに書き換えられてしまった。米国Napster社はデジタル音楽ファイルをインターネット上で簡単に交換できるアプリケーションNapsterを公開し、全米レコード工業会（RIAA）などと著作権侵害にかかわる裁判を争っている。

　今回Webページを改ざんされたWebサイトの中には、NASAの研究施設や米国・英国官公庁のWebサイトも含まれていた。これらのWebサイトは攻撃対象となる可能性が高いことが事前に想定され、各サイトとも十分な対処を行っていたと考えられるが、Webページ改ざんを防ぐことができなかった。Webぺージ改ざんの被害からWebサイトを防衛することの難しさをこの例からもうかがい知ることができる。それでは、Webページ改ざんのリスクを最小限に抑えるにはどのような対策を施しておけばよいのであろうか？

Webページ改ざんの手口

　前章において提示した「Webページ改ざんのリスクを最小限に抑える」対策について論じる前に、まずはWebページ改ざんの手口について考察したい。

　2000年1月の官公庁Webページ改ざん事件については、その詳細な手口なども明らかになりつつある。この事件では次のような段階を経てWebページ改ざんを行ったものと考えられている。

• Webサーバ上で稼働していたOS、またはサービスプログラムのバグを利用してサーバに侵入する。つまりネットワーク上から悪意のあるデータをサーバに送信し、プログラムのバグを利用することで一般ユーザー権限・管理者権限を奪取する。
  
  
• Webコンテンツファイルを書き換えることのできるユーザー権限を獲得しファイルを改ざんする。

　プログラムのバグを利用したこのような攻撃は、たとえファイアウォールのポリシーを適切に設定し、サーバに最新のバグ修正プログラムを適用していたとしても以下の2点の理由から防御しきれない場合がある。

1. ファイアウォールによるアクセス制限の限界
   　多くのファイアウォールでは、パケットのヘッダ情報をもとにそのパケットを通過させるか破棄するか判断し、アクセス制限を行っている。しかしパケットのヘッダ情報だけでは、高度な手法を用いた不正アクセスや攻撃を検出することは困難である。しかも公開Webサーバについては、Webサービスについて外部のあらゆるホストからのアクセスを許可するようにファイアウォールで設定されている。このため公開Webサーバへの悪意のあるパケットも外部からの正規のパケットと同様に、ファイアウォールによるアクセス制限を受けることなくサーバまで到達できてしまう。
   
   　以上のような理由から、Webサーバでサービスを提供しているアプリケーションやOSにユーザー権限を奪取されるような致命的なバグが存在していた場合、ファイアウォールの設置による防御効果は限られてしまう。
   
   
2. バグ修正プログラム公開・配布の遅れ
   　プログラムのバグを利用したこのような攻撃の脅威を根本的に解決するには、ベンダから提供される修正プログラムを適用するしか方法がない。しかしベンダの修正プログラムの配布がバグ情報の公開より遅れてしまうと、攻撃を受ける危険度の高い期間が発生してしまう。
   
   　実際2000年9月に発表された「locale」フォーマット文字列に関する脆弱性では、あまりに広範なベンダの製品が対象となってしまったため、ベンダ間の調整が間に合わず、一部のベンダのみが修正プログラムとバグ情報を発表し、対応のできていないベンダが取り残されるという状況が起こってしまった。

ファイアウォール／要塞化では防ぐことのできない 　攻撃をどのように防ぐのか？

　前章で論じたように公開Webサーバにはファイアウォール／要塞化だけでは防ぎきれない攻撃を受け、Webページを改ざんされてしまうリスクが存在する。それでは「Webページ改ざんのリスクを最小限に抑える」にはどのような対策を行えばよいのか本章で説明する。

■侵入検知システム（IDS）の意義

　ネットワークセキュリティにおいて、ファイアウォールによるアクセス制限／サーバの要塞化などの対策は「防御を強固にする」受動的な対策といえる。例えば銀行において現金が保管されている金庫に何重にもカギをかける、あるいは金庫自体を頑丈なものに取り替えるのと同様の対策である。しかし、現実の銀行において泥棒から現金を守る対策としてはこれだけでは不十分である。なぜなら泥棒の侵入を監視する対策がないからである。泥棒の侵入を検出し、即時に対応するシステムがなければ、侵入した泥棒が金庫の弱い部分を見つけて金庫をこじ開けて現金を奪い去ってしまうかもしれない。

　実際、銀行には監視カメラ・警報装置が設置され、ガードマンが巡回しており泥棒の侵入を検出・撃退することができるようになっている。ネットワークセキュリティにおいても同様に不正な侵入・攻撃を検出し、管理者への通知・防衛手段をとるシステムが必要となっている。そのような対策の1つとして侵入検知システム（IDS）というアプリケーションが開発されている。

　ファイアウォールによるアクセス制限／サーバの要塞化といった受動的な対策に対して、IDSを利用すると不正アクセスの試みや攻撃をリアルタイムに検出し、管理者への通知・防衛といった能動的な対応が可能になる。銀行の例でも分かるように、金庫の防御を高める対策と泥棒の侵入を監視する対策はお互いに補完する関係となっている。ネットワークセキュリティにおいても、IDSはファイアウォールによるアクセス制限／サーバの要塞化といった対策を補完するものであり、どちらの対策も必要であることに注意していただきたい。

　IDSは監視する対象・手法の違いによって、ネットワークベース侵入検知システム（ネットワークベースIDS）とホストベース侵入検知システム（ホストベースIDS）の2種類に大別される。

1. ネットワークベース侵入検知システム（ネットワークベースIDS）
   　ネットワークベースIDSは、パケットのぺイロードの情報、あるいは複数のパケットの相関を利用して高度な不正アクセスの試みや攻撃を検出し、管理者への通知・攻撃への防衛などの対応を行う。
   
   
2. ホストベース侵入検知システム（ホストベースIDS）
   　サーバなど重要なホストマシン内にインストールし、そのホストに対する不正アクセスの試みや攻撃を検出する。悪意のあるユーザーの行動を検出した場合には、管理者への通知や攻撃への防衛などの対応を行う。

　IDSを利用することにより、Webページ改ざんのリスクをさらに抑えることができる。具体的には、ネットワークベースIDSとホストベースIDSをそれぞれ次のように配置する。

■ネットワークベースIDSによるパケットの監視

　前章で論じたように、多くのファイアウォールではパケットのヘッダ情報をもとにそのパケットを通過させるか破棄するか判断している。そのため高度な手法を用いた不正アクセスの試みや攻撃に対するファイアウォールの防御効果は限られている。しかしネットワークベースIDSを利用すると、ファイアウォールの防御できない高度な不正アクセスの試みや攻撃を検出することができ、ファイアウォールの弱点を補完することができる。

■ホストベースIDSを利用したWebページ改ざん検知

　Webサーバに侵入されてしまった場合に、Webページの改ざんという最悪の事態を防ぐための最終防衛ラインとして、ホストベースIDSを利用したWebコンテンツ改ざん検知・復旧システムを導入する。

　ホストベースIDSを利用してWebコンテンツの改ざんをリアルタイムに検出し、不正なファイルの改ざんが行われた場合には管理者への通知・ファイルの復旧を行う。詳しい内容については後編で説明する。

「連載　Web改ざんの現状と対策」

＠ITメールマガジン　新着情報やスタッフのコラムがメールで届きます（無料）