-----BEGIN PGP SIGNED MESSAGE----- ====================================================================== JPCERT-ED-2000-0001 JPCERT/CC 技術メモ - Web ページの改竄に対する防衛発行日: 2000-02-14 ====================================================================== 文章の位置付け本文章はWebページの改竄に対して緊急的処置としてどのような対策が可能なのかを示すものです。抜本的な Web サーバの防御に関しては、このドキュメントだけでは十分ではないことをあらかじめご了承下さい。 I. どのようにして Web ページの改竄が起こるか Web ページの改竄には、大きく分けて以下の二つのケースがあります。・Web サーバのホストに不正侵入され、ページが改竄される・FTP や、CGI などのネットワークサービスが不正利用され、ファイルが置き換えられるこのような不正侵入や不正利用が起こる要因には以下のものがあります。・Web サーバのソフトウェアのバグ、設定の間違い・CGI プログラムのバグ、設定の間違い・その他のネットワークアプリケーションのバグ、設定の間違い・遠隔ログイン、ファイル転送におけるアクセス制御の失敗 Web ページの改竄を防ぐには、これらの要因をできる限り少なくすることが望まれます。 II. 防衛の方法 Web ページの改竄に対する防衛の方法は、第 I 章で挙げた要因を少なくすることにつきます。以下では対策について、緊急の対策、次に取る対策、そして抜本的な対策へのアプローチ、と三つに分けて説明します。 (1) 緊急の対策緊急の対策として以下の二つを推奨します。Web サーバのサービスを HTTP だけに限定し、そのサービスのセキュリティを高めます。・Web サーバのソフトウェアを最新のバージョンとする・外部からの HTTP 以外のサービスに対するアクセスを禁止する Web サーバのソフトウェアには、セキュリティ上の問題が発見されているものがあります[1][2]。また、Web サーバのソフトウェアは、複雑で大規模なものであるため、新たにセキュリティ上の問題が発見されることが考えられます。これらの問題を放置すると、セキュリティ上の問題を悪用され、不正侵入や不正利用につながることが考えられます。利用している Web サーバのソフトウェアの情報を確認し、最新のバージョンとすることを強くお勧めします。 Web サーバにおいて、HTTP 以外のサービスの弱点が悪用されるおそれがあります。Web サーバの目的が外部への HTTP によるサービスだけの場合、それ以外のネットワークサービスに対するアクセスをすべて禁止することをお勧めします。具体的には、ルータによるパケットフィルタリングにより、HTTP 以外の通信を遮断することが考えられます。 (2) 次に取る対策緊急の対策の次に取る対策として、以下の五つを推奨します。Web サーバの HTTP によるサービスを限定し、そのセキュリティを高めます。また、Web サーバのホストとしてのセキュリティを高めます。・Web サーバのソフトウェアの設定を再確認し、必要最小限の設定とする・CGI プログラムを確認し、不必要な CGI プログラムを削除する・不要なネットワークサービスを停止する・ログ機能を設定し、監視できるようにする・Web サーバで利用するソフトウェア(OS、ネットワークアプリケーション)を確認し、最新のバージョンとする Web サーバのソフトウェアは、機能が豊富で拡張性が高くなっています。しかし、セキュリティの観点からは、できるだけ限られた機能だけを利用することが望まれます。設定を再確認し、簡潔でわかり安い設定となるように心がけ、必要最小限の設定とすることをお勧めします。例えば、静的なコンテンツの配送だけに限定するという運用が考えられます。もし、CGI を利用したサービスを行なっている場合、CGI プログラムを確認し、不必要な CGI プログラムを削除することをお勧めします。必要なければ、 CGI の機能自身を停止することも考えられます。また、CGI プログラムから利用されるソフトウェアに関しても技術的な安全性の評価をすることが望まれます。 Web サーバのホストとしてのセキュリティを高めることも重要です。不要なネットワークサービスを停止し、通信のログを取るように設定し、監視を行なえるようにします。また、OS やネットワークアプリケーションなどのソフトウェアを最新のバージョンとします。 (3) 抜本的な対策へのアプローチ本節では、緊急的処置後の抜本的な対策に至るアプローチに関して説明します。抜本的な対策を考える場合には、技術的な対策というよりも運用の仕組み、業務としての設計という部分が重要になってきます。以下の三つの点に関して考察することを推奨します。・Web サービスの位置付けの確認とネットワーク構成/設計への反映・Web サービス運用の作業分担の明確化、更新の手順の文書化、周知徹底・監視、緊急対応の体制づくり Web サービスを組織としての対外サービスとして、どのように位置付けるかを再検討し、何が必要条件か、どの程度のサービスレベルを設定するかなどを定義することが重要になります。これらが決まった上で、セキュリティに関して、何をどの程度守るかが決まります。また、対外サービスの Web サービスを行なうことが、ネットワークの構成と設計に反映され、ネットワーク全体としても齟齬なく運用されることが望まれます。 Web サービスの運用は、一般にコンテンツの作成者、Web サービスのプログラミングを行なう人、ホストの管理者、ネットワークの管理者など複数の人によって実施されます。これらの複数の人の中での作業分担を明確化し、更新の手順を文書化し、ページの更新がどのようにして起こるかを周知徹底することが重要になります。 Web サービス、およびホストの通信に関して監視し、不正なアクセス(あるいはその試み)があった場合には早期に発見して対応することが望まれます。監視の体制作りを行ない、緊急対応の仕組みの確立をすることが望まれます。可能であれば、緊急対応の訓練をすることが望まれます。 III. 備考: 「ファイアーウオール」について組織とインターネットの接続においては、「ファイアーウオール」と呼ばれる環境を構築し、これによって通信を制御、監視を行なうことがあります。「ファイアーウオール」の役割には、外部のネットワークから組織の内部のネットワークを守ること、内部のネットワークに対してインターネットへのサービスを提供することなどがあります。一般に、「ファイアーウオール」の導入によってネットワークのセキュリティは高まりますが、Web サーバを「ファイアーウオール」による保護の対象とするかどうかは、サイトのセキュリティポリシーによって異なる判断があり得ます。 Web サーバを「ファイアーウオール」による保護の対象外とし、Web サーバは単独としてセキュリティを高めるという運用も一つの方式です。保護の対象を分けて管理することは、全体のセキュリティを高めることにつながります。 Web サーバを「ファイアーウオール」による保護の対象とする方式もあります。ただし、この場合、「ファイアーウオール」によって何が守られているかについて十分注意する必要があります。第 I 章で挙げた要因のうち、実装方式にもよりますが、「ファイアーウオール」では守れないものもあります。「ファイアーウオール」があるからといって、Web サーバの危険性のすべてが守られるわけでは決してありません。重大な運用の勘違いとして、保護することを目的として、「ファイアーウオール」によって守られている組織の内部のネットワークに、外部のサービスを目的とした Web サーバを配置することがあります。この場合には、かえってリスクを高めてしまい、万が一 Web サーバが不正侵入された場合に、組織の内部のネットワークも危険に晒されることになります。このような運用は決して勧められません。 IV. 参考資料 [1] CERT Advisory CA-99-07, "IIS Buffer Overflow", June 18, 1999. http://www.cert.org/advisories/CA-99-07-IIS-Buffer-Overflow.html [2] ISS Security Advisory, "Buffer Overflow in Netscape Enterprise and FastTrack Web Servers", August 25, 1999. http://www.ciac.org/ciac/bulletin/j-fy99/j-62.shtml [3] CIAC Bulletin, "Web Security", May 17, 1999. http://www.ciac.org/ciac/bulletin/j-fy99/j-42.shtml __________ 注: JPCERT/CC の活動は、特定の個人や組織の利益を保障することを目的としたものではありません。個別の問題に関するお問い合わせ等に対して必ずお答えできるとは限らないことをあらかじめご了承ください。また、本件に関するものも含め、JPCERT/CC へのお問い合わせ等が増加することが予想されるため、お答えできる場合でもご回答が遅れる可能性があることを何卒ご承知おきください。注: この文書は、コンピュータセキュリティインシデントに関する一般的な情報提供を目的とするものであり、特定の個人や組織に対する、個別のコンサルティングを目的としたものではありません。また JPCERT/CC は、この文書に記載された情報の内容が正確であることに努めておりますが、正確性を含め一切の品質についてこれを保証するものではありません。この文書に記載された情報に基づいて、貴方あるいは貴組織がとられる行動 / あるいはとられなかった行動によって引き起こされる結果に対して、JPCERT/CC は何ら保障を与えるものではありません。 __________ 2000 (C) JPCERT/CC この文書を転載する際には、全文を転載してください。情報は更新されている可能性がありますので、最新情報については http://www.jpcert.or.jp/ を参照してください。やむを得ない理由で全文を転載できない場合は、必ず原典としてこの URL および JPCERT/CC の連絡先を記すようにしてください。 JPCERT/CC の PGP 公開鍵は以下の URL から入手できます。 ftp://ftp.jpcert.or.jp/pub/jpcert/JPCERT_PGP.key __________ 改訂履歴 2000-02-14 初版 -----BEGIN PGP SIGNATURE----- Version: 2.6.3i iQCVAwUBOKepl4x1ay4slNTtAQE+BwP/WjQ8nkdrYz37sMOKwKriHPZHt1chUkJe 3ZDqyEY3jHK1ZW5oLSzMJhrW4TDliN9t7Leg+b2QXV3L7W/rK5SbynVSkXIDqhEH eej7G1w0MrDf2gYADzY41NjbcspSHXj6QZSBWB3YQUzSZ4ARl/W9Ty881XghQ7B3 Ya7rOS4CuhA= =MoZF -----END PGP SIGNATURE-----