「ウォルティ×ゲヒルン×さくらインターネット セキュリティの夕べ」レポート (クーポンのプレゼントもあるよ!)

こんにちは、さくらインターネット クラウドチームの大喜多です。

さくらインターネット、ウォルティ、ゲヒルンの3社共催によるセキュリティをテーマにしたイベント「ウォルティ×ゲヒルン×さくらインターネット セキュリティの夕べ」のレポートをいたします。

最後に「Walti.io さくらクーポン 500円分」のご案内もありますので、ぜひ最後までご覧ください!

会場の様子

クラック・サイト改ざんが発覚!被害の実例・事後対処は?

さくらインターネット abuse対策チーム プロデューサーの山下 健一より、ホスティング事業者におけるセキュリティインシデント対策現場についてご紹介致しました。

さくらインターネット 山下さん
さくらインターネット 山下さん

フィッシングサイトの事例

レンタルサーバ・VPS等が乗っ取られ、フィッシングサイトに改竄されるインシデントの実例と傾向の紹介を致しました。フィッシングターゲットはGoogleとPayPalが突出して多く、続いて各国の銀行やSNSがいくつかあるような状況とのことでした。しかし多くの場合はスクリプトキディ(注1)による稚拙な改竄とのことです。

*注1
本職のハッカーらが製作したプログラム、またはスクリプトを悪用し、興味本位で第三者に被害を与える程度の低いハッカー(クラッカー)を指す俗称。

近年の傾向としては、CMSの普及により、Webサイトが簡単に作れるようになったものの、その一方でCMSのセキュリティが十分に管理されておらず乗っ取られ被害に遭うというケースが多いとのことでした。またCMSの普及により、ソースコードを一切読み書きすることなくWebサイトを作成・運用することができるようになった反面、ソースコードを読んだことのないサイト管理者が多く、改竄された際の問題箇所の特定ができないケースが多く見られるとのことでした。

DoS/DDoSの発信源となるボットネットの事例

複数のVPSが乗っ取られ、ボットネットを構成してUDP Flood(ネットワーク帯域輻輳を意図した飽和攻撃)を行った事例の紹介でした。紹介された例では6台のVPSがボットネットを構成し外部に対してDDoS攻撃を行った例でしたが、これが10台以上のホストがボットネットを構成すると大変なことになるとのことで、またボットホストは放置すると次々と増えていくため、迅速な対応が求められる、とのことでした。

ポートスキャン・不正アクセス等の事例

ホストに対してポートスキャンが行われた事例の紹介でした。ポートスキャンの対象ポートで最も多いのはSSH(22番ポート)、次いでHTTP(80番ポート)とのことでした。通信事業者であるホスティング事業者には通信の秘密を遵守する義務があり、通常は通信内容の収集・検出は行えないものの、本件はホストサーバに対して障害の要因になりうるレベルの負荷がかかり、その調査の過程で判明したものとのことでした。

ユーザがとるべき対策

それではユーザはどのような対策をとればよいのでしょうか。乗っ取りが行われる原因として

・OSの設定が不十分
・CMSほか、ミドルウェアの脆弱性を放置
・ユーザーネーム/パスワード/アクセス制限が脆弱

があると指摘。特に実験やテストで作成した環境が対策不十分なまま公開され放置されることによる被害が多いとのことでした。インターネットに公開した時点でそのサービスは攻撃の標的となるため、不十分なままの公開は避け、テスト環境であればテストが終わり次第閉鎖または削除を行う、公開を継続する際は適切な対策をとる必要があります。

まとめ

安全確保のために、OS/ミドルウェア/CMSのアップデートを行うこと、パスワードはどのアカウントに対しても必ず強固なものを設定すること、ファイアウォールの正しい理解と適切な設定、WAF/Fail2banの活用、ログ保存等を挙げてまとめとしていました。

山下さんが本イベントで使われたスライドはこちら

Waltiを使って◯◯◯◯のセキュリティ診断やったったー

株式会社ウォルティ 代表取締役 藤崎 正範様より、同社の提供するセキュリティ診断SaaS「Walti」を使用してセキュリティ診断を行った事例の紹介がありました。藤崎様はMSP事業者の代表を務めながら現役のインフラエンジニアとして活動する傍ら、日本のサーバのセキュリティ水準を上げていこうと、「サーバーサイドのセキュリティスキャンを身近にする活動」としてを「Walti」立ち上げられたとのことです。

ウォルティ 藤崎様

情報セキュリティ10大脅威2016

「セキュリティ対策をバッチリ行っているか?」この問いに自信を持って答えるには状況を把握している必要があると指摘。事業を継続していく上でサーバは重要であり、特に以下3点が事業継続においてじゅうようになってくると指摘されておりました。

3位「ウェブサービスからの個人情報の窃取」
5位「ウェブサイトの改竄」
6位「脆弱性対策情報の公開に伴い公知となる脆弱性の悪用増加」

そして、今回セキュリティ診断を行ったのは…

このサイト、さくらのナレッジです!!

さくらのナレッジの構成

さくらのナレッジは、「さくらのマネージドサーバ」というサービス上で運用されており、CMSとしてWordPressを採用しています。さくらのマネージドサーバは物理サーバを1台占有するタイプのサービスであり、かつOS/ミドルウェアのレイヤーにおいては事業者の責任範囲となっているため、ユーザの責任範囲はアプリケーションレイヤ(今回の場合はWordPress)となります。そのため、今回のセキュリティ診断はWordPressに対して行われました。

今回、脆弱性対応の調査に1.5h、対応作業に0.5h、対応の動作チェックに1.0h、そのほか作業前バックアップおよびステージング環境作業を含めると1day(8h)ほどになったとのことでした。

今回の対応についてのコメントとして以下が挙げられておりました。
・脆弱性対応はキーワードを検索すればすぐに特定可能である
・発見・特定が普段からめんどくさい作業である
・項目の特定さえできれば対策に時間はかからない
・今回は商用環境のため時間を要したが、個人サイトであればもっと短時間で対応可能である

今回さくらのナレッジの対策を行われたユニマル様は「WordPressのスナップショットを簡単にとれる」SNUPUP(スナップアップ)というサービスを開発されており、SNUPUPでステージング環境を常にsyncしておいて対応をスムーズにすればより効果的で迅速な対応ができるのではないかという気づきを得られたようでした。藤崎様もここまでの気づきが得られるとは意外だったようで、驚かれていた様子でした。

まとめ

「Walti」を活用して脆弱性を把握し対応できるようにすること、定期的にスキャンすることで、脆弱性が発生したらすぐ認識できるようにして継続的にセキュリティ対策を行っていこう、ということで本セッションを締めくくっておられました。

補足

今回のセキュリティ診断/対策を経て、さくらのナレッジのセキュリティはバッチリです!これからも安心してご覧ください!!

藤崎様が本イベントで使われたスライドはこちら

全体を通じて

本日は11月にもかかわらず関東地方は降雪となり、参加者も低調になるのでは・・・とスタッフ一同心配しておりましたが、やはり近年セキュリティに対しての関心は非常に高く、また滅多に聞けないようなセッションが目白押しであったため、多くの方に参加していただくことができました。

※編集部注:今回予定されておりましたゲヒルン株式会社石森氏によるセッションは、諸般の事情により中止となりました。ご了承ください。

Walti.ioさくらクーポンをプレゼント!

本イベント開催を記念して、当日ご来場いただいた方にも差し上げた「Walti.io さくらクーポン 500円分」を抽選で50名様にプレゼントいたします!
この機会に是非ご利用のさくらのサービスをスキャンしてみてください!

※本プレゼントキャンペーンは、12/9をもって終了しました。