第2回 Web改ざんの実態(後編)

今回の主な内容
前編へ
2度書き換えられるサイト
サーバの出現
Web改ざんニュースサイト:Attrition
Webは組織の顔

office
2001/3/14

   2度書き換えられるサイト

 科学技術庁(当時)サイトが2000年の1月24日と1月26日の2回にわたって書き換えられたこと[1]は記憶に新しい。このように同一サイトが2度以上にわたって書き換えられることはまれではない。古くは1996年3月17日、Teliaのサイトが1日の間に2度、まったく別のグループによって書き換えられた事件[2]などが有名である。

[1]http://www.zdnet.co.jp/news/0002/04/haikei2.html
[2]http://www.flashback.se/hack/1996/12/ (編注)

編注:2001年3月時点ではアクセスできなくなっている。

 短期間に何度もWeb改ざんを許してしまうのは、Webを改ざんされてもWebコンテンツのみを元に戻すというような、ずさんなシステム復旧をしてインターネットにつなぎ、侵入者の入り口が残っているために起こる。

 侵入者は自分専用の入り口としてBackdoor(バックドア)を設けていて、何度となく侵入する場合が非常に多い。また最初の侵入者が利用したセキュリティホールをふさがないと、そこから別の侵入者が入ってくる可能性もある。セキュリティの甘いサーバに複数のグループが侵入して同居しているということも珍しくない。Webを改ざんされたお陰で侵入されているのに気付き、サーバを踏み台にしているより深刻な侵入者を排除したというケースもある。セキュリティホールとBackdoorについて十分調査して完全な復旧をしない限り、サービスを再開するのは避けるべきだ。

 1度だけWeb改ざんを被ったのであれば、公知でない攻撃方法が用いられたからだとか、OSやサーバソフトウェアをバージョンアップするだけの時間がなかったからだなどの言い訳も成り立つ。しかし2度以上立て続けに改ざんされたならば、だれがどう見ても管理体制の不備と能力不足だ。組織の信用は地に落ちる。

   サーバの出現

 1996年12月ごろから特異なWebサイトが京都大学に出現した。そのサイトはユーザーに、CGIを用いて自由に書き込めるページを貸し出していた。ユーザーによって作られたページは、次々と更新されなければ占有権を失う仕組みになっていた。ある短い一定期間更新されなければ、そのページはだれでも改ざんすることができるように開放されてしまい、改ざんした人が次のページオーナーになるというシステムであった。京都大学のサーバ管理者が何ら関与してこなかったため、そのページの多くは悪意に満ちた、あるいは違法に近い内容の文章が次々に書き込まれていた。そしてその一部のページに、後に起こった神戸の連続殺人事件の予言とも思える謎のメッセージが書き込まれていたとして取り沙汰され、大騒ぎとなった(実際にはそのようなメッセージは存在しなかったらしい)。

 実は、このWebサイトは京都大学の元学生によって作られたオリジナルWebサーバによるものだった。サーバ管理者には研究用の計算プロセスが走っているようにしか見えないよう、非常に巧妙に仕掛けてあった。また京都大学からはそのWebの内容が見られないように設定してあったため、数カ月の間気付かれず野放しになっていた。

 本来は、このような場合でも不審なポートが開いていることに気付けば問題のあるプロセスを発見できたはずである。またネットワーク外部からのアクセスだけではなく、自組織のユーザーの行動にも十分注意を払うことも必要だ。

 このようなゲリラWebサーバは厳密にはWeb改ざんではないが、公開されているコンテンツによってはWeb改ざんと区別がつかないし、勝手にサーバが公開されていることが知られればそれだけでWeb改ざんと同様に組織全体の評価を落とす。またサーバ管理者の知らないところでサーバが動いていると、往々にしてセキュリティホールとなって外部からの侵入者を許し、大きな被害を被る危険性もある。

 この元学生はすでに学籍は京都大学にはなかったが、京都大学がその後の研究の便宜のためにアカウントを残していたためにこのような事件となった。籍のない者にアカウントを残しておくと危険であるとの実例である。組織外の人間には組織の信用や地位は無関係であるし、また何らかの懲罰を設定して行動を規制することもできないことを十分考慮すべきだ。

   Web改ざんニュースサイト:Attrition[3]

 Web改ざんに関して特集しているサイトは世界中にあって、今回の記事の取材でも20近いサイトを見てまわった。しかしその中でもひときわ情報量の多いサイトはAttritionというサイトだ。このサイトを見ると世界のWeb改ざんの動向がよく分かり、そこから多くの情報を手に入れることができる。

[3]http://www.attrition.org/

 例えば、1999年8月〜2000年8月にWebが改ざんされた約7400ものサイトのWebサーバの種類比率は、

  IIS 55%
  Apache 29%
  Netscape 4%
  そのほか 12%

となっている。これをNetcraftの統計調査[4]による、同時期に稼働が確認された2000万近いWebサーバの種類比率

  IIS 22%
  Apache 62%
  Netscape 7%
  そのほか 9%

[4]http://www.netcraft.com/survey/

と比較することができる。IISはApacheに比べてWebが改ざんされる確率が非常に高いことが分かる。IISが用いられているOSであるWindows NTについては、bugtraqによるバグの数の統計[5]では、

  Windows NT 4.0 34
  Red Hat Linux i386 13

[5]http://www.securityfocus.com/frames/

と、Red Hat Linuxより多くのセキュリティホールがあると報告されている。これらのデータから、Windows NT+IISをWeb用サーバに用いる場合には、セキュリティ情報により多くの注意が必要であることが分かる。

 Attritionの統計によれば、1999年の.jpドメインで被害にあったのは、61サイトであり、全被害の0.82%にしかすぎない。しかしこれは.jpドメインのWebサーバが他国に比してよく管理されているからではなくて、Attritionが英語のサイトであるため、Attritionへの報告者に偏りがあるためだ。

 Attritionで運営されているdefacedという名のメーリングリスト[6]は特異なメーリングリストである。Web改ざんされたサイトの情報が1日に10以上も次々と送られてくる。その情報はURL、OS、Webサーバの種類、改ざんしたグループ名のみである。Web改ざんを行ったグループ自らAttritionに報告していると想像され、改ざんされたことをサーバ管理者が気付く暇もなく、あっという間にAttritionに証拠を取られてしまうようだ。この迅速さを見ると、定期的にページが改ざんされていないかを確認するサービスを依頼したり、HTMLファイルの同一性チェックを行っていたりしても間に合わないと思われる。むしろ、メーリングリストのsubjectには必ず改ざんされたサイトのURIが記されているので、これをチェックした方が速報性が高いかもしれない。

[6]http://www.attrition.org/security/lists.html

   Webは組織の顔

 2000年の一連の官公庁Web改ざん事件の後、警察庁情報通信局長は「ホームページ改ざんのレベルの侵入は、しかるべき対策を取れば未然に防げる」と講演した[7]。Webサーバはきちんと管理されているべきで、最新システムにしてセキュリティホールがふさがれているのが当たり前という感覚は、いまや一般人にも浸透しつつある。

[7]http://www.mainichi.co.jp/digital/netfile/archive/200003/01-3.html

 ここにきて、実際にWeb改ざんにいたらなくとも、同程度に管理体制の不備があることが知れ渡れば同じようにやゆの対象になったり、場合によっては信用を失うようになってきた。最近ではFBIのWebサーバがNetscape Enterprise/3.5.1Iという古いバージョンのままであることが有名である。また、Web改ざん事件の後go.jpのサーバ管理については見直しがあったにもかかわらず、いまだ脆弱性が知られている古いバージョンのWebサーバを相変わらず使っている省庁のうわさも一部には流されているようだ。たとえファイアウォールの後ろにあって直接攻撃できなくても、きちんと管理されていないようなサーバはもはや恥である。

 最近のセキュリティ技術には、大事なサーバを守るためにわざと脆弱に見せかけたサーバを別に用意するハニーポット(編注)という技法が確かに存在する。しかし、Webサーバは攻撃されてよいサーバではあり得ないため、Webサーバのバージョンが古いのは実はハニーポットなのだなどという言い訳はまったく成り立たない。

編注:Honey Pot(蜜つぼ)。ハッカー/クラッカーをおびき寄せる罠を意図し、脆弱に見せかけたシステム。侵入者の興味を引きそうなファイルなどを餌として用意する場合もある。ただし、実際にハッキングを受けると踏み台にされる危険性があることも指摘されている。

 Webページに普通にアクセスすると、ブラウザでは表示されないがサーバの種類やバージョンは毎回ユーザーに送られている。つまりWebとは、自分のサーバがどのようなものであるか、管理はきちんとなされているのか、ユーザーからのアクセスがあるごとに宣伝しまくっているのである。

 IT関連企業や技術力を売りにしている会社なら、組織の顔であるWebサーバの管理ぐらいはきちんとしたい。いい加減な管理をしていることはすぐに知れ渡るのだ。

「連載 Web改ざんの現状と対策」

コンテンツ提供:バガボンド
出典:Scan Security Handbook Vol.5
2000/10/11発行


Security&Trust フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Security & Trust 記事ランキング

本日 月間