2000年2月14日に、
コンピュータ緊急対応センター(JPCERT)から「
Webページの改竄に対する防衛」という文書が公開されました。その内容を要約すると次のとおりです(専門家でないインターネットユーザーにもなるべくわかりやすいように書きます)。
- ウェブページの改ざんが起こる原因
一つはサーバへの不正ログインです。もう一つは、FTP(ファイル転送プロトコル)やCGI(Common Gateway Interface:ユーザーがブラウザ上で指定したデータをサーバ側で処理するしかけ)の悪用です。
- 緊急の対策
ウェブサーバソフトウェアのバグを突いた攻撃を避けるために、最新版のソフトウェアを使うこと。また、ルータのパケット選別機能などを使って、ウェブサービス以外の通信を遮断すること。
- 次にとる対策
ウェブサーバソフトウェアの設定やCGIプログラムは必要最小限にすること。不必要なネットワークサービスをサーバ上で動かさないようにすること。アクセス記録を監視できるようにすること。OSを最新版にすること。
- 抜本的な対策へのアプローチ
何を目的とするウェブサービスで、そのために何の機能が必要かを再検討すること。それに基づいて、何をどの程度の強さで守るかを決めること。さらに、ウェブサーバの運用作業の分担や、ページの更新の方法を明確にすること。
第31回で述べた省庁ホームページ改ざん事件のあとに半月以上たって公表されたものは、当たり前のセキュリティ対策技術ばかりでした。インターネット技術の専門家から見れば大したことない事件だったのに、「省庁がやられたのだから何か報告せい」とせっつかれてしかたなしに出したようにも思えます。この憶測を私があるメーリングリストで述べたら、「まさしくそのとおり」というコメントがありました。やられた省庁では、その後の対応に躍起になっているそうです。
私は、2月6日に、このサイトの「
技術ノート」に「
IPフィルタの設定」という記事を掲載しました。OCNエコノミーなどの安いインターネット常時接続サービスを利用するサイトの中に、ガードなしの危険な運用をしている所が多いのを知っていたからです。また、省庁ともあろう重要サイトがIPフィルタ(パケットの選別)という手軽な対策さえ知らなかったらしいということにあきれたからでもあります。
インターネットをざっと検索してみましたが、ルータの設定方法がわかる人なら誰でも真似できるくらい具体的にIPフィルタのかけ方を説明しているウェブサイトはほかに見当たりませんでした。おそらくそれは、具体的なノウハウを公表することには危険が伴うからです。私がそれを公表したことは、私のサイトにとって危険なことなのです。私の手の内を明かすことになるからです。
私が具体的なノウハウを公表しなければ、クラッカーは、無名の一個人のサイトを攻撃しようとは思わないでしょう。しかし、もし私が公表したIPフィルタに抜け穴が残っていたとすれば、クラッカーは、それを突くことで私をせせら笑ってやろうと思うかもしれません。具体的な手の内を明かさないこともセキュリティ対策の一つだとも言えるのです。
それでも私が自分で設計したIPフィルタの公表に踏み切ったのは、こういうことをやれるのは個人サイトだけだろうと思ったからです(法人サイトでは、万一の際の責任問題がやっかいになりますから)。これを真似すれば十分というわけではありませんが、私のサイト程度のセキュリティレベルにさえ至っていないサイトでは、せめてこれを真似するくらいやってほしいと思います。こんな手軽な方法を真似するだけでも、ガードはかなり強固にできるはずですから。
インターネットサイトの運用に携わる人はぜひ参考にしてください。また、この記事をお読みになった方がネットワーク運用者と知り合いなら、ぜひ紹介してください。
ご質問は
掲示板または
メールでどうぞ。