サーバセキュリティ、不正プログラム対策の次に取り組むべきは脆弱性対策。

~サーバにおける脆弱性対策の必要性~

公開日
2019年3月26日

みなさん、こんにちは。
トレンドマイクロでDeep Securityの製品マーケティングをしている謝(シャ)と申します。

今回は、展示会でお客さまから頻繁に聞かれる質問である、「サーバのセキュリティって不正プログラム対策(ウイルス対策)だけで十分ですか?」に対する回答を記事にまとめます。
サーバセキュリティ検討のお役に立てると幸いです。

目次:
・不正プログラム対策だけで十分ですか?
・近年の重大サーバインシデントから見る脆弱性対策の必要性
・攻撃者にとって脆弱性は絶好のねらい目
・今日から取り組める脆弱性対策

不正プログラム対策だけで十分ですか?

サーバのセキュリティは不正プログラム対策だけで十分なのでしょうか。
結論としては、ネットワークで脆弱性対策をしていない限りは不十分です。
なぜ不十分なのか?どのようなセキュリティを優先して導入すべきなのか?
これらを考えるために、まずは近年のサーバに対する重大インシデントについて見ていきます。

近年の重大サーバインシデントから見る脆弱性対策の必要性

① WannaCry

こちらは世間を賑わせたランサムウェアの一種です。連日ニュースで取り上げられていたので、印象に残っている方も多いのではないでしょうか。被害が日々拡大していく様子がテレビを賑わせておりました。
従来のランサムウェアとは異なり世界中で甚大な被害をもたらしたのは、WannaCryにSMBの脆弱性を使って拡散行動を行うという特徴があったからです。この拡散行動の特徴により、サーバにも感染するランサムウェアとして猛威を振るいました。

② Apache Struts 2の脆弱性(CVE-2017-5638)

Apache Struts 2で見つかったこの脆弱性は、攻撃を行うことで遠隔から任意のコードが実行可能になるというものでした。任意のコードが実行可能というのは何でもできてしまうことと等しく、正規のツールを使って個人情報を抜き出すことでウイルス対策機能では検知できないまま情報漏えいしてしまうという事態が実際に起きました。例えば、この脆弱性を利用されることで米国では約1億 4,300 万人分の顧客情報が流出した前例があります(トレンドマイクロセキュリティブログより)

③ WordPressの脆弱性(CVE-2017-1001000)

WordPressで発覚したREST APIの脆弱性は、攻撃を行うことで認証を回避し、サーバのコンテンツ改ざんが可能となるものでした。大学や地方自治体など国内で複数のWebサイトが改ざんされる事態が実際に発生しています。
改ざんが行われた際に、例えばWebサイトにマルウェアを埋め込まれることで、被害者だったはずがマルウェアをばら撒く加害者になってしまうのも、Webサイト改ざんの恐ろしいところです。

上記の3つの例からもわかる通り、近年のサーバインシデントは「脆弱性を突いた攻撃」が非常に多く、こういった脅威に対応するための「脆弱性対策」がサーバセキュリティの一大テーマとなっています。

攻撃者にとって脆弱性は絶好のねらい目

では、そもそも脆弱性とはなんでしょうか。

脆弱性という言葉には、脆(もろ)くて弱い性質という意味があります。コンピュータネットワークの分野では、特にソフトウェアにおけるセキュリティ上の欠陥のことを指します。
ソフトウェアのコードミスという欠陥が原因で、予想外の挙動を引き起こすのです。

こういった脆弱性を利用することでシステム管理者の意図していない操作が可能となるため、前述の具体例にもあるような情報漏えいやWebページの改ざん等といったサーバへの攻撃に利用されることが非常に多いです。

また、前述のApache Struts 2の脆弱性(CVE-2017-5638)を代表とする認証を回避できてしまう脆弱性は、不正プログラム対策機能では対策できない点も、攻撃に利用されやすい一因です。
認証を回避し、サーバに侵入できれば、あとは正規のツールを使って個人情報を盗み出すことができます。不正プログラム対策機能では正規のツールを検知できないこともあり、脆弱性対策をしていないサーバは攻撃者にとって絶好のねらい目です。

今日から取り組める脆弱性対策

脆弱性対策として取り組んでいただきたいのは、OSやアプリケーションをできるだけアップデートし、最新の状態にすることです。
脆弱性が発見されたあと、ソフトウェアベンダーが該当の脆弱性を修復するセキュリティパッチ(アップデートや、更新プログラムと呼ばれることも)をリリースします。脆弱性が修復されている状態、つまり最新のパッチを適用している状態を維持するのが理想です。

例えばWannaCryで利用されたSMBの脆弱性を修復するセキュリティ更新プログラム(MS17-010)は、2017年3月の時点でマイクロソフト社から配信されていました。そしてWannaCryが猛威を振るったのが2017年5月です。この2か月の間にセキュリティ更新プログラムを適用していれば、WannaCryの感染はほとんど防げたはずでした。
ところが、サーバにパッチを適用するというのは簡単に行えることではありません。パッチ適用したあと、業務に支障がないかどうかを確認する必要もありますし、パッチの適用時には大抵の場合サーバ再起動が伴います。
結局配信から2か月あったにもかかわらずセキュリティ更新プログラムを適用していない企業・組織が多く、このことはWannaCryが世界的に猛威を振るう結果に繋がりました。

次回は、パッチの適用が難しい環境において、どのような方法で脆弱性対策ができるのか?日々発見される脆弱性の管理&対応に忙殺されている状況を改善するためには?という内容を書いていこうと思います。

トレンドマイクロ株式会社
ビジネスマーケティング本部
謝 佳貝 (シャ カカイ)

お役立ちリンク集
Deep Security製品紹介
サポート
ヘルプ
製品ダウンロード

メールでのお問い合わせ
VMwareTech@trendmicro.com

Copyright © 2024 Trend Micro Incorporated. All rights reserved.