イーガーディアングループのHASHコンサルティング代表を務める徳丸浩氏は6月24日、大学のウェブサイトなどへの侵入が相次いで報道されたことについて、ブログで見解を表明した。
「アンチウイルスは導入していた」「パスワードは定期的に変更していた」といった対策が伝えられていることに対し、それらの効果は限定的だと説明、ウェブサイトへの侵入対策としてはセキュリティパッチの迅速な適用や認証の強化が重要だとしている。
早稲田大学の事案について「対策の優先順位が逆」
早稲田大学によると、侵入されたサーバに対してはアンチウイルスソフトを導入し、最新パターンファイルを適用していたが、OSセキュリティパッチは最新でなく、ファイアウォールによる監視も行われていなかったという。
この部分について、徳丸氏は「対策の優先順位が逆」と指摘。ウェブサイトへの侵入経路としては「サーバソフトの脆弱性(セキュリティ上の弱点)を突かれる」「サーバの認証を突破される」の2種類があり、まずは脆弱性に対するパッチを適用して、脆弱性がない状態を作り出すことが重要だと指摘、以下のように記している。
ウイルス対策ソフト(アンチウイルス)は、脆弱性をついた攻撃について一定の効果がありますが、ウイルス対策ソフトというものは、不正なファイルを対象としたソリューションです。公開ウェブサイトに不正なファイルが送り込まれたという状況は、今回のようなケースでは、外部からの「改ざん」により不正ファイルが作られたことになり、すなわち攻撃を受けてしまった後の話です。
それでも水際でストップできればいいのですが、改ざんにより送り込まれるファイルはウイルスとは限らず、例えば単にHTMLが書き換えられ特定の文言が追加されたようなケースではウイルス対策ソフトでは検知できません。
一方、パッチの適用の方は、ウェブサイトへの侵入経路そのものを断つわけですから、非常に効果的です。
徳島大学の事案について「効果は限定的」
徳島大学の事案では、新聞報道の中の「少なくとも年に1度はパスワードを変更していた」という点について、「パスワードの定期的変更の効果は限定的と考えられます」と指摘した。
外部の攻撃者が何らかの方法でパスワードを入手し、しばらく後に悪用する場合には効果があるが、即座に攻撃が実施されれば効果がない。サーバのパスワード変更は、例えば管理者の異動の際などに遅滞なく実施するのがベストであるとし、以下のように記している。
サーバの認証突破に対する備えは何をすればよいでしょうか。それには、以下が有効です。
- 外部(インターネット)からは管理用ソフトウェア(ssh、管理コンソール)に接続できないようにファイアウォール等を設定する
- 鍵認証等、強固な認証方式を導入する
- 二段階認証を導入する
- 管理者のIDとパスワードを共用せず、個別のIDとパスワードを設定する
- 管理者の異動の際は遅滞なくIDを無効化するか、パスワードを変更する
サイトへの侵入対策はパッチと認証が基本、追加でWAFや改ざん検知
徳丸氏は、これらの事案についての報道に「大学側が一定のセキュリティ対策を施していたが、それでも侵入されてしまったような論調」という印象を受け、今回のブログを執筆したとしている。具体的な内容をみると分かるように、ウェブサイトへの侵入対策として必ずしも十分とは言えない。結論として、以下のように記している。
ウイルス対策ソフトの導入とパスワードの定期的変更は、もっとも有名なセキュリティ対策ではありますが、ウェブサイトの侵入対策という面では効果は限定的であり、すみやかなパッチ適用と認証の強化が重要です。そして、追加のセキュリティ対策としては、WAFや改ざん検知システムの導入を検討するとよいでしょう。