Apache,IISの利用率とセキュリティホールの奇妙な関係 37
ストーリー by wakatono
確証はないけどね 部門より
確証はないけどね 部門より
我が家の WebサーバはApacheで構成されている。別にCodeRed(以下赤蟲)が来ても、ログに何かが残るだけなので気にもしてなかったのだが、ここんところのあまりの赤蟲の来訪数に業を煮やして、NetcraftのWebサーバソフトの統計を見てみた。Apacheには及ばないものの、2番手につけている。しかも結構数が多い。しかし、本当に気になるのは、CodeRed が流行り始めるあたりと思われる6月から7月にかけての統計だ。Apacheのシェアが4%程度下がったのと同時にIISのシェアが5%以上伸びた。今年の2月ごろにも幅が下がっている。実は、今年のはじめにも同様の傾向が見られた後にIISのかなり深刻なセキュリティホールが見つかった記憶がある。結果として、その直後にApacheの使用率は上がり、IISの使用率は下がった。おそらく8月のWebサーバ利用率も似たような変化を示すだろう。
まだこのような傾向に気が付いてから半年程度しか経過していないが、実際過去の傾向はどうだったのか、つぶさに精査は出来ていない。もしこの偶然が偶然でないとしたら、Netcraftの公表しているデータから次のアタック時期がある程度推し量れるかと思うのは考えすぎか?
Re:Windows 2000 SP2 のお陰? (スコア:4, 興味深い)
しかしながら今回のRed Code騒動の観察から 実際に動いているIISと使われているIISは別だということがわかりました。使わなくてもデフォルトで動かしている、あるいは、そもそもインストールされているかどうかも理解していないユーザも多いようだ、ということがわかりました。これは色々と考えさせられるものがあります。
ちなみに、つい先ほどUSENIXカンファレンスのセッションで8月1日以降のCode Red (IIにあらず)の短いサーベイが発表されていました。日本、韓国、台湾のエリアは、他の地域の2倍の発生量です。ちょっと笑うに笑えない状況です。
すずきひろのぶ
Re:Windows 2000 SP2 のお陰? (スコア:3, 参考になる)
そーですね、しかもIIS(Windows)だけの問題ではなくLinuxでも状況的には同じだと思います、OSの問題よりも管理者(実際には自分が管理者と認識していない一般のデスクトップ型利用のユーザ)のセキュリティに対する考えの甘さや、管理しなければならないこと自体を知らない人の多さの方が問題ですね。
私の加入している某CATV会社のインターネットでもCodeRedに感染している人がいたのでCATV会社へ警告を促して欲しいとのメールをしたら、「混乱を招くので警告しない」趣旨の返事を頂いて驚かされました、ISPですらそんな状況ですから・・・・。
Re:Windows 2000 SP2 のお陰? (スコア:3, 参考になる)
なんか新しいパッチのリリースでは、これまでの修正パッチをまとめただけのような書き方をしてるけどさぁ。
Re:インストールされてるだけのIIS (スコア:3, 参考になる)
2)「『PWSをインストールしますか?』だって? う~んよくわかんないけどインストールしとこう。」
3)「わ~い、フレッツで常時接続だ」
こういう人が少なくないのでは。
Re:Windows 2000 SP2 のお陰? (スコア:2, 参考になる)
私の周りでも PWS や IIS がインストールされていることすら知らなかった人もいたので怖い話です。
Mc.N
ただたんに (スコア:2, おもしろおかしい)
Re:ただたんに (スコア:2, 興味深い)
身の回り(network的に近所)にWin2Kなマシンが沢山あるんだなぁ、というのが確認できちゃいました。
会社内LANでも、あっさり大流行してましたし。これは、外部と出入りするWin2KなnotePCが感染源ではないか、っつぅハナシですが。
Re:インストールされてるだけのIIS (スコア:2)
Re:Windows 2000 SP2 のお陰? (スコア:2)
#なので未だにW2kは怖くて使えません。
##と思ったら出たのねSP3
M$神話 (スコア:2)
一体どういう根拠や理由で信じるのかがさっぱり理解できませんが。
ワーム作者の戦略? (スコア:1)
あるいは、M$の勢力拡張に苛立った反M$系の人が案外多いのかも?
まぁ、データ不足ですが…
/.configure;oddmake;oddmake install
Windows 2000 SP2 のお陰? (スコア:1)
眉唾ですが SP って結構期待されているんでしょうかね。
ということは次のアタックは SP3、とか?
Mc.N
Re:Windows 2000 SP2 のお陰? (スコア:1)
#特につっこみどこ満載のMSの新機能とか...
// kraymor
Re:Windows 2000 SP2 のお陰? (スコア:1)
最近、やっと対策に乗り出したようなので一安心ですが。
Mc.N
Re:Windows 2000 SP2 のお陰? (スコア:1)
こーなると、逆にウィルス製作者がSPの修正リストを見て、その情報を元にウィルスを作ってんじゃないかと疑ってしまいますね。個人的にゃ、ウィルスなんぞ作っとる輩には独力でセキュリティ・ホールを探し出す技量なんぞ持っとらんと思いますしね(偏見?)。
結局、「SPなんてメンドーなもんを真面目にインストールする管理者なんていやしないよ」って舐められているよーな気がします。
#だからセキュリティホールは隠すべし、とも思えないけど。今回のCodeRedに関しては、管理者も加害者だと言っても良いと思うし。
Re:Windows 2000 SP2 のお陰? (スコア:1, 参考になる)
Re:Windows 2000 SP2 のお陰? (スコア:1)
でもいつのまにかトップページにケーブルモデムのランプ点灯についての注意書がのってましたけど...(苦笑)
Re:ワーム作者の戦略? (スコア:1)
というより、単に反米って感じに理解してました。反米・反帝国主義感情を表わすために
マクドナルドを攻撃するってのと同じかな、と。
もっとも、確かに突っ込みどころ満載な上に無防備な素人サーバーが多いので攻撃対象
になるってのもあるんでしょうが。
Re:Windows 2000 SP2 のお陰? (スコア:1)
そのCATVの上位プロバイダのIIJはちゃんとCodeRedに関して警告を促しているんですが全くもってCATV会社は「御粗末」な対応です。
「混乱を招く」ってのは、警告することで問合せが殺到してサポートが混乱するってことでしょう、仕事を放棄しているとしか思えません。
# 人生のキャリーオーバー継続中
名前出しちめーよ(^^;>タコいISP (スコア:1)
(……201件に増えるんだろーか(笑)>感染数)
もちろん、その後詫びを入れる&実際に赤虫駆逐されたんなら、こっちもその旨改めて投稿してあげれば言いだけのこと。ちゃんと対応してくれたんなら、かえってそのISPに対する好感度は上がるはず。その程度にはスラドの読者はオトナだと思ふナリよ
_ to boldly go where no man has gone before!
インストールされてるだけのIIS (スコア:1)
Re:Windows 2000 SP2 のお陰? (スコア:1)
申し訳ないっす。とりあえず先の発言は保留ということで。
#どっかでそーゆー話を読んだんですけど、誤情報だったかな?後で情報源調べなおして追加報告しますわ。
Re:Windows 2000 SP2 のお陰? (スコア:1)
> Linuxでも状況的には同じ
Apache は基本的な最低限の設定をしてからでないと動かない。何ら設定しなくても動く IIS とは違う。
私の管理している Web サーバーにアクセスしに来た Code Red II 感染マシンの多くは、「IIS がインストールされていただけで、気が付かないうちに Web サーバーが動いていた」人が多いのは事実だが、 PC-UNIX もそれと同じだと勝手に考えないで欲しい。
もっとも、今回の Code Red II の件があっても、一般論として、 MS 製品のセキュリティーの方が PC-UNIX 等よりも低いと考えず、同じような物だと言い出すとなると、もう「根性」ですね。
Re:Windows 2000 SP2 のお陰? (スコア:1)
勘違いでしたわ(陳謝)。
http://www.microsoft.com/japan/technet/security/codeptch.asp
よんで、てっきりSP1+修正パッチorSP2だとばっか思ってました(そう読めなくもないっしょ?)。
http://www.microsoft.com/japan/technet/security/prekb.asp?sec_cd=MS01-033
見たら違うやん。
#MSが紛らわしい書き方したのが悪い、と、とりあえず責任転嫁しときます(<こら)。
##本当は自分が悪いっすけど。
そうですよ、根性です。(Re:Windows 2000 SP2 のお陰 (スコア:1)
> Apache は基本的な最低限の設定をしてからでないと動かない。何ら設定しなくても動く IIS とは違う。
最近の Linux distribution ではインストールパッケージの選択によっては動いていてもおかしく無いようなものがいっぱいあります。
> 私の管理している Web サーバーにアクセスしに来た Code Red II 感染マシンの多くは、「IIS がインストールされていただけで、気が付かないうちに Web サーバーが動いていた」人が多いのは事実だが、 PC-UNIX もそれと同じだと勝手に考えないで欲しい。
おっしゃる通りであるとは思いますが、ソフトウェアには 必ずバグやセキュリティーホールがあるという前提で考えるべきです。そういう意識をもった人たちがユーザや開発者に多いので PC-UNIX は比較的安全だという神話が生まれてしまうのも仕方がありませんが、単純に信用するのは危険な状態です。
> もっとも、今回の Code Red II の件があっても、一般論として、 MS 製品のセキュリティーの方が PC-UNIX 等よりも低いと考えず、同じような物だと言い出すとなると、もう「根性」ですね。
Windows に限らず、他の OS (あるいは他の用途)でも
- 構築(パッチ適用)
- 検証
- リリース(公開)
- 運用
といった地道なサイクルは根性なしではやっていけないと思う今日この頃、、、Re:Windows 2000 SP2 のお陰? (スコア:1)
#たしか、最初に読んだのがInfoWorldで、その記事ではSP1かSP2で防げるとか書いてあったよーな。もー記事探すのメンドーなのでリンクしませんが。
まぁ、MS自体が混乱してるのでしょうけど。自社サーバが感染する位だし。
Re:Windows 2000 SP2 のお陰? (スコア:1)
Mac OS X を PC-Unix に含むかどうかは別として、とりあえず OS 本体をインストールすると Apache も勝手に入っちゃうし、ボタン押すだけで動いちゃうんですよ。
…あ。
使ってるんですけどね。ええ。
[udon]
Re:Windows 2000 SP2 のお陰? (スコア:1)
インストールされない」ようなインストーラーでもあればいいのにと思います。
そのインストーラーは母艦となる別の OS 上で作成し、設定もしておくと。
これなら自分の使いたい物だけを自分の意志で動かすことができる。
>Apache は基本的な最低限の設定をしてからでないと動かない。
>何ら設定しなくても動く IIS とは違う。
Apache を、bind, sendmail, inetd, syslogd, telnetd, sshd
など他のデーモンに読み替えたらいかがでしょうか?
セキュリティーホールは Apache だけに存在するわけではありませんよね。
マイクロソフト製品のセキュリティーの欠落具合は論外だとしても、
UNIX 系 OS にも問題が無いとは言えないはずです。
「勝手にサーバーが動いている」という事態が既に問題を孕んでるわけですから。
むしろ「安全神話」がある分タチが悪いように思います。
Re:Windows 2000 SP2 のお陰? (スコア:1)
母艦となる別のマシンでインストーラー生成プログラムを動かすわけです。
で、その時に「インストールするソフトの選択や設定」もしておく。
って事です。
Re:インストールされてるだけのIIS (スコア:1)
グローバルアドレス与えるのをやめたら少しはマシになるかな?
違いがわからなきゃどっちだっていいぢゃん。
どっかのCATVは、特に申し込まないとプライベートIPなの。
これって実は有効な手だった!?
**たこさん**・・・
Re:ワーム作者の戦略? (スコア:1, すばらしい洞察)
とくに企業ユーザの購入時期は予測できるから、セキュリティが甘く価値ある情報をためたマシンが大量発生する事になる
急にIISが増えた原因にも目を向けるべき
Re:Windows 2000 SP2 のお陰? (スコア:1)
だから、 Apache は「入れっぱなし」じゃ*動かない*んだってば。そこが入れっぱなしで動く IIS とは違のに、それを混同した主張をしているんだよね。
> Linuxでも初期インストール時にWebサーバとか選択出来るでしょ?
それなら「勝手に設定までしてしまうお節介なディストリビューションだってあるぞ。具体名:○×」と言うべきだ。「Apache だって」という言い方はおかしい。Apache そのものは、あくまで「何もしない状態では、 httpd は起動しない」で正しい。
それとも、「IIS は設定したって動かない」とでも言うの?
> Apacheのセキュリティホールのパッチを当てないで放置すれば同じだろうと思うのですが
現実の被害を見るべきだ。 IIS と Apache とどっちが大きかったか、と問われても「同じ」と答えるわけですか?
今更「こんな古いバージョンを動かしている所は珍しい」といった大昔の Apache に存在していたセキュリティーホールの事を持ち出して、鬼の首を取ったように「Apache だって同じだ」といった議論をするから、根性だって言うんですよ。
いや、 M$ 信者は「UNIX だって (1980年代の終わり頃に) Morris Worm 事件があったじゃないか!」と言って、これを根拠に、今も Windows と UNIX のセキュリティーは似たような物だ、 Windows の事を悪く言うな、という手合いが多くてねぇ。やっぱり、「UNIX が使えないから」「UNIX と比較できないから」そう言うのかな。
M$インターネット製品を使う事自体犯罪行為だよ (スコア:0)
懲りずにM$製品を使っている管理者は、今回のCodeRed騒では被害者じゃくて
確信犯的な加害者だよ。
Re:名前出しちめーよ(^^;>タコいISP (スコア:0)
しかも、笑えるのが、ここはNATの使用や公開サーバの利用は原則禁止なんですよ、それでいて、ウイルスへの対策として「NATにてフィルタをかけて・・・」等と寝とぼけた文もあったりして、こんな会社ですから赤虫駆除の手助けなんて出きるわけありませんです。
Re:Windows 2000 SP2 のお陰? (スコア:0)
なんか、誤解されているのでしょうか?
自分が言いたいのは、セキュリティの問題はPCの管理者のスキルや認識度の問題に左右される場合が多いのでは?と言いたいだけなのだが。
大昔のApache入れて満足してても駄目っしょ、IISでもApacheでも入れっぱなしで終りじゃないよ!ってことが言いたかっただけっスyo.
自分もWinの設定は全く知らない人間なんでApacheしか設定できませんが、最近はLinuxでも初期インストール時にWebサーバとか選択出来るでしょ?全くなんも考えずにApacheをインストールする事も最近は可能なのでは?
>PC-UNIX もそれと同じだと勝手に考えないで欲しい。
いや、同じだろ。少なくとも貴方のような達人は違うのだろうが、今日始めてLinuxを買ってきてapt-get install apache したら結果は同じでは?
しかも、Apacheのセキュリティホールのパッチを当てないで放置すれば同じだろうと思うのですが。
Re:Windows 2000 SP2 のお陰? (スコア:0)
> 何ら設定しなくても動く IIS とは違う。
Apacheも最近は同じですよ。
> MS 製品のセキュリティーの方が PC-UNIX 等よりも低いと考えず、同じような物だと言い出すとなると、もう「根性」ですね。
セキュリティに低い高いって認識を持つことが既に管理者に向いていないと思われる。
Re:Windows 2000 SP2 のお陰? (スコア:0)
知合いの話しで恐縮なんですが、IIS(バージョン不明)もTurboLinux(バージョン不明)のApacheもインストールした記憶が無いのに動いているって話しは聞いた事があります、実は、私自身IISって触った事もインストールした事もないんで不明ですしTurboLinuxも同じくインストールした事がありません、FreeBSDとDebianしか使ったことないんでApacheが勝手に入るっていまいち理解不能なんですが、最近のLinuxは全般的にそーいったものらしいです。
(厳密には勝手にはいったんじゃなくてインストールで選択しているか、サーバとしてインストールするモードか何かでインストールするとこーなるんでしょうけど)
> 現実の被害を見るべきだ。 IIS と Apache とどっちが大きかったか、と問われても「同じ」と答えるわけですか?
今のところApacheを狙うよりもIISを狙う方が楽しいだけでは?今後FreeBSDやDebianが広まって行くとWinベースのIISよりもApacheの方がターゲットになるかもしれませんが)
>いや、 M$ 信者は「UNIX だって (1980年代の終わり頃に) Morris Worm 事件があったじゃないか!」
私はM$信者じゃないんでその辺りの比較についてはよく解りませんが、最近は一昔前と違ってMake install すら知らない人もLinuxを使ったりしていますから環境だけで比較はできないかもしれませんね。
すみません、Apacheを特別に信頼していませんし、それ以上にIISを養護したり信頼しているわけじゃないんで、これ以上掘り下げた論争に発展させる事が出来ません。