-----BEGIN PGP SIGNED MESSAGE-----

======================================================================
                                                   JPCERT-ED-2001-0006
                                                             JPCERT/CC
技術メモ  - Web ページの改竄に対する防衛

初    版: 2000-02-14 (Ver.01: JPCERT-ED-2000-0001)
発 行 日: 2001-12-27 (Ver.04)
最新情報: http://www.jpcert.or.jp/ed/2001/ed010006.txt
======================================================================

文章の位置付け

  本文章は Web ページの改竄に対して緊急的処置としてどのような対策が可
能なのかを示すものです。抜本的な Web サーバの防御に関しては、このドキュ
メントだけでは十分ではないことをあらかじめご了承下さい。


I. どのようにして Web ページの改竄が起こるか

  Web ページの改竄には、大きく分けて以下の二つのケースがあります。

    ・Web サーバのホストに不正侵入され、ページが改竄される

    ・FTP や、CGI などのネットワークサービスが不正利用され、ファイ
      ルが置き換えられる

  このような不正侵入や不正利用が起こる要因には以下のものがあります。

    ・Web サーバのソフトウェアのバグ、設定の間違い
    ・CGI プログラムのバグ、設定の間違い
    ・その他のネットワークアプリケーションのバグ、設定の間違い
    ・遠隔ログイン、ファイル転送におけるアクセス制御の失敗

  Web ページの改竄を防ぐには、これらの要因をできる限り少なくすることが
望まれます。


II. 防衛の方法

  Web ページの改竄に対する防衛の方法は、第 I 章で挙げた要因を少なくす
ることに尽きます。以下では対策について、緊急の対策、次に取る対策、そし
て抜本的な対策へのアプローチ、と三つに分けて説明します。


(1) 緊急の対策

  緊急の対策として以下の二つを推奨します。Web サーバのサービスを HTTP
だけに限定し、そのサービスのセキュリティを高めます。

    ・Web サーバのソフトウェアを最新のバージョンとする
    ・外部からの HTTP 以外のサービスに対するアクセスを禁止する

  Web サーバのソフトウェアには、セキュリティ上の問題が発見されているも
のがあります[1][2][3][4][5][6][7][9][10]。また、Web サーバのソフトウェ
アは、複雑で大規模なものであるため、新たにセキュリティ上の問題が発見さ
れることが考えられます。これらの問題を放置すると、セキュリティ上の問題
を悪用され、不正侵入や不正利用につながる可能性があります。利用している
Web サーバのソフトウェアの情報を確認し、最新のバージョンとすることを強
くお勧めします。

  Web サーバにおいて、HTTP 以外のサービスの弱点が悪用されるおそれがあ
ります。Web サーバの目的が外部への HTTP によるサービスだけの場合、それ
以外のネットワークサービスに対するアクセスをすべて禁止することをお勧め
します。具体的には、ルータやホスト自身でパケットフィルタリングを行なう
ことにより、HTTP 以外の通信を遮断することが考えられます。


(2) 次に取る対策

  緊急の対策の次に行なう対策として、以下の五つを推奨します。Web サーバ
のHTTP によるサービスを限定し、そのセキュリティを高めます。また、Web
サーバのホストとしてのセキュリティを高めます[8]。

    ・Web サーバソフトウェアの設定を再確認し、必要最小限の設定とする
    ・CGI プログラムを確認し、不要な CGI プログラムを削除する

    ・不要なネットワークサービスを停止する
    ・ログ機能を設定し、監視できるようにする
    ・Web サーバホストで利用するソフトウェア(OS、ネットワークアプリケー
      ション)を確認し、最新のバージョンとする

  Web サーバのソフトウェアは、機能が豊富で拡張性が高くなっています。し
かし、セキュリティの観点からは、できるだけ限られた機能だけを利用するこ
とが望まれます。設定を再確認し、簡潔でわかりやすい設定となるように心が
け、必要最小限の設定とすることをお勧めします。例えば、静的なコンテンツ
の配送だけに限定するという運用が考えられます。

  CGI を利用したサービスを行なっている場合には、CGI プログラムを確認し、
不要な CGI プログラムを削除することをお勧めします。必要なければ、CGI
の機能自身を停止することも考えられます。また、CGI プログラムから利用さ
れるソフトウェアに関しても技術的な安全性の評価をすることが望まれます。

  Web サーバのホストとしてのセキュリティを高めることも重要です。不要な
ネットワークサービスを停止し、通信のログを取るように設定し、監視を行な
うようにします。また、OS やネットワークアプリケーションなどのソフトウェ
アを最新のバージョンとします[11][12][13]。


(3) 抜本的な対策へのアプローチ

  本節では、緊急的処置後の抜本的な対策に至るアプローチに関して説明しま
す。抜本的な対策を考える場合には、技術的な対策というよりも運用の仕組み、
業務としての設計という部分が重要になってきます[14]。以下の三つの点に関
して考察することを推奨します。

    ・Web サービスの位置付けの確認とネットワーク構成/設計への反映
    ・Web サービス運用の作業分担の明確化、更新手順の文書化、周知徹底
    ・監視、緊急対応の体制づくり

  Web サービスを組織の対外サービスとして、どのように位置付けるかを再検
討し、何が必要条件か、どの程度のサービスレベルを設定するかなどを定義す
ることが重要になります[15]。これらを明確にした上で、セキュリティに関し
て、何をどの程度守るかが決まります。また、対外サービスとしての Web サー
ビスを行なうことがネットワークの構成と設計に反映され、ネットワーク全体
として齟齬なく運用されることが望まれます。

  Web サービスの運用は、一般にコンテンツ作成者、Web サービスのプログラ
ミングを行なう人、ホスト管理者、ネットワーク管理者など複数の人間によっ
て実施されます。これら複数の人の中での作業分担を明確化し、更新手順を文
書化し、どのようにしてページ更新を行なうかを周知徹底することが重要にな
ります。

  Web サービスおよびホストの通信を監視し、不正なアクセス(あるいはその
試み)があった場合には早期に発見して対応することが望まれます。監視の体
制作りを行ない、緊急対応の仕組みを確立すること、および、可能であれば、
緊急対応の訓練をすることも推奨されます。


III. Web サーバとファイアウォール

  組織とインターネットの接続においては、「ファイアウォール」[16]と呼ば
れる環境を構築し、これによって通信を制御・監視することがあります。「ファ
イアウォール」の役割には、外部のネットワークから組織内部のネットワーク
へのアクセスを制限すること、組織内部のネットワークからインターネット上
のサービスへのアクセスを提供することなどがあります。

  一般に「ファイアウォール」の導入によってネットワークのセキュリティを
高めることができますが、Web サーバを「ファイアウォール」による保護の対
象とするかどうかは、サイトのセキュリティポリシーによって異なる判断があ
り得ます。

  Web サーバを「ファイアウォール」による保護の対象外とし、Web サーバは
単独としてセキュリティを高めるという運用も一つの方式です。保護の対象を
分けて管理することは、全体のセキュリティを高めることにつながります。

  Web サーバを「ファイアウォール」による保護の対象とする方式もあります。
ただし、この場合、「ファイアウォール」によって何を守るかについて十分注
意する必要があります。第 I 章で挙げた要因のうち、実装方式にもよります
が、「ファイアウォール」では守れないものもあります。「ファイアウォール」
があるからといって、Web サーバの危険性のすべてを排除できるわけではあり
ません。

  運用上の重大な勘違いとして、「ファイアウォール」によって守られている
組織内部のネットワークに、外部へのサービスを目的とした Web サーバを配
置することがあります。このような構成では、万が一 Web サーバが不正侵入
された場合、組織内部のネットワークも危険に晒されることになります。この
ような運用は決して勧められません。


IV. 参考資料

[1] CERT Advisory CA-1998-04
    Microsoft Windows-based Web Servers access via long file names

    http://www.cert.org/advisories/CA-1998-04.html

[2] CERT Advisory CA-1999-07
    IIS Buffer Overflow

    http://www.cert.org/advisories/CA-1999-07.html

[3] CERT Advisory CA-2001-10
    buffer Overflow Vulnerability in Microsoft IIS 5.0

    http://www.cert.org/advisories/CA-2001-10.html

[4] CERT Advisory CA-2001-12
    Superfluous Decoding Vulnerability in IIS

    http://www.cert.org/advisories/CA-2001-12.html

[5] CERT Advisory CA-2001-13
    Buffer Overflow In IIS Indexing Service DLL

    http://www.cert.org/advisories/CA-2001-13.html

[6] CERT Advisory CA-2001-14
    Cisco IOS HTTP Server Authentication Vulnerability

    http://www.cert.org/advisories/CA-2001-14.html

[7] CIAC Bulletin J-062
    Netscape Enterprise and FastTrack Web Servers Buffer Overflow

    http://www.ciac.gov/ciac/bulletins/j-062.shtml

[8] CIAC Bulletin J-042
    Web Security

    http://www.ciac.gov/ciac/bulletins/j-042.shtml

[9] JPCERT/CC Alert 2001-06-20
    Microsoft Index Server ISAPI Extension Buffer Overflow

    http://www.jpcert.or.jp/at/2001/at010010.txt

[10] JPCERT/CC Alert(Microsoft IIS) 2001-05-09
     IIS 5.0 のセキュリティ上の弱点

    http://www.jpcert.or.jp/at/2001/at010008.txt

[11] Windows NT Configuration Guidelines

    http://www.cert.org/tech_tips/win_configuration_guidelines.html

[12] UNIX Configuration Guidelines

    http://www.cert.org/tech_tips/unix_configuration_guidelines.html

[13] UNIX Security Checklist v2.0

    http://www.auscert.org.au/Information/Auscert_info/Papers/usc20.html
    http://www.cert.org/tech_tips/usc20.html

[14] Improving Computer Security through Network Design

    http://www.auscert.org.au/Information/Auscert_info/Papers/Security_Domains.html

[15] Site Security Policy Development

    http://www.auscert.org.au/Information/Auscert_info/Papers/Site_Security_Policy_Development.txt

[16] Home Network Security

    http://www.cert.org/tech_tips/home_networks.html#II-L

__________

注: JPCERT/CC の活動は、特定の個人や組織の利益を保障することを目的とし
たものではありません。個別の問題に関するお問い合わせ等に対して必ずお答
えできるとは限らないことをあらかじめご了承ください。また、本件に関する
ものも含め、JPCERT/CC へのお問い合わせ等が増加することが予想されるため、
お答えできる場合でもご回答が遅れる可能性があることを何卒ご承知おきくだ
さい。

注: この文書は、コンピュータセキュリティインシデントに関する一般的な情
報提供を目的とするものであり、特定の個人や組織に対する、個別のコンサル
ティングを目的としたものではありません。また JPCERT/CC は、この文書に
記載された情報の内容が正確であることに努めておりますが、正確性を含め一
切の品質についてこれを保証するものではありません。この文書に記載された
情報に基づいて、貴方あるいは貴組織がとられる行動 / あるいはとられなかっ
た行動によって引き起こされる結果に対して、JPCERT/CC は何ら保障を与える
ものではありません。

__________

2000-2001 (C) JPCERT/CC

  この文書を転載する際には、全文を転載してください。情報は更新されてい
る可能性がありますので、最新情報については

        http://www.jpcert.or.jp/ed/

を参照してください。やむを得ない理由で全文を転載できない場合は、必ず原
典としてこの URL および JPCERT/CC の連絡先を記すようにしてください。

  JPCERT/CC の PGP 公開鍵は以下の URL から入手できます。

        http://www.jpcert.or.jp/jpcert.asc

__________

改訂履歴

2001-12-27  参照 URL と文面の更新
2000-08-25  参照 URL の更新
2000-02-28  第 IV 章 参考資料の URL を修正。
2000-02-14  初版

-----BEGIN PGP SIGNATURE-----
Version: 2.6.3ia
Charset: noconv

iQCVAwUBPCqI8ox1ay4slNTtAQHQ6gP+Lqj5MxUAPwehv+K7VrQAW3xPtICyyDOD
byxTS5eHtiFtLO9JWpm4/sq/sr2R+jfQKm5Eozyszq6tE9eeWo2hmQPS8pEMd/uu
Vy1jVD1zCpcHIQpDlsu9ETBvEKKKOB0TFBIVZgv/aONKr1fGpfOCJVf8deyuhU4e
MipXmCexFCo=
=8eFf
-----END PGP SIGNATURE-----