パスワードを忘れた? アカウント作成
4675 story

IISからApacheへの移行で逆にセキュリティー問題が拡大? 64

ストーリー by wakatono
移行すりゃいいってもんじゃないぞ 部門より

syun 曰く、 "アイ・サイナップが、国内の上場企業のうち3,364社を対象に行なったWebサーバーの実態調査の結果を発表しました。
この記事では、Webサーバーの種類別ではApacheが63%と断トツで多いが、その半数はセキュリティに問題のあるものを使用している、NimdaやCodeRedが猛威をふるったのをきっかけに、IISからApacheへ移行したのに、逆にセキュリティ問題が増してしまっていると指摘しています。

なお、江藤@アイ・サイナップさんから私が聞いた話では、テストはバージョン確認だけではなく、各種セキュリティホールチェックツールでテストをして総合的に判断したとのことです。"

セキュリティの確保に王道なし。移行しただけでよしとするのではなく、その後の情報収集やメンテナンスを確実にこなしていくことが重要だ。でないと、「せっかく移行したのに何故…」ともなりかねない。まぁ、これは移行するしないにかかわらない話なのだが…

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 以下、未満 (スコア:3, 参考になる)

    by Anonymous Coward on 2003年01月07日 3時59分 (#231038)
    どうでもいいですが、ソース記事の
    セキュリティーホールのあるバージョン1.3.27「以下」
    って、心臓に悪いですよ・・・。

    見落としだったらまずいと思って、apache.orgを見に行ってしまいました。
    • by Anonymous Coward
      すべてがすべて1.3.27に慌ててあげる必要もないんだけど。
      たとえばDebianは1.3.26で問題はないよ。

      また単純にバージョンじゃなくてSSLのライブラリが問題とか
      いろいろ絡みがあるしね。

      それにスタックガードでコンパイルしているとか、コード自体に
      問題があってもどうにかできるみたいな、いろいろな守り方
      • by Anonymous Coward
        そうじゃなくて、「1.3.27以下」って書いたら1.3.27も含むってことでしょ。 私も1.3.28なんて出てたっけ?とapache.org 見に行ったクチです。
        • by Anonymous Coward
          つまり
          ×:バージョン1.3.27「以下」
          ○:バージョン1.3.27未満
          と記載すべきなのですね。
  • 実際 (スコア:2, 興味深い)

    by gonta (11642) on 2003年01月07日 3時02分 (#231030) 日記
    趣味と実益を兼ねて、某大学でネットの監視とサーバメンテを
    やっていたりします。

    CodeRedの時は、まあ広がった広がった。あっという間でした。
    ひどかったのは、WinのOSをインストールしIISをインストールし、
    さて、IISのCodeRed修正パッチをダウンロードしてインス
    トール・・・そのダウンロードの間にもう一度感染したという
    話。あきれて物が言えなかった。

    私もサーバ構築の以来を受けるときは、PC-UNIX(FreeBSD)+
    apacheにしています。ただ、apacheも1.3.26でセキュリティー
    ホールが見つかり、Scalper?とかいうワームもできたと記憶
    していますので、結局本文中にあるとおり「どんなOS/httpd
    にしようと、セキュリティーの情報を常に仕入れ、必要とあ
    れば即メンテすること」が一番だと思います。

    さきほど私がメンテの担当で無いマシンで、Scalperに感染した
    という情報が入った。FreeBSD 4.1+apache-1.3.10だって・・・
    --
    -- gonta --
    "May Macintosh be with you"
    • by terasawawawa (6534) on 2003年01月07日 9時47分 (#231100) 日記
      >CodeRedの時は、まあ広がった広がった。あっという間でした。
      >ひどかったのは、WinのOSをインストールしIISをインストールし、
      >さて、IISのCodeRed修正パッチをダウンロードしてインス
      >トール・・・そのダウンロードの間にもう一度感染したという
      >話。あきれて物が言えなかった。

      修正パッチはFDかCD-Rにいれて、オフラインで入れるというのが常套手段だと思いましたが・・・
      修正パッチのダウンロードは、IIS無いWindowsマシンですればいいわけだし。

      その他のウィルスも基本それでいかないと、ドンドン広まりません?
      親コメント
    • by sato4 (4413) on 2003年01月07日 10時01分 (#231104) 日記
      CodeRedの時は、まあ広がった広がった。あっという間でした。 ひどかったのは、WinのOSをインストールしIISをインストールし、 さて、IISのCodeRed修正パッチをダウンロードしてインス トール・・・そのダウンロードの間にもう一度感染したという 話。あきれて物が言えなかった。

      普通、パッチの当たってないIISは停止しておいてからパッチを 当てる作業をするんでわ?
      近いIPから総当たりでCodeRedが来てると思うので、学内に大量の 感染マシンがあったとか?

      親コメント
      • by syun (109) on 2003年01月07日 11時55分 (#231138) ホームページ
        >普通、パッチの当たってないIISは停止しておいてから
        >パッチを 当てる作業をするんでわ?

        だからさ、元記事では、その程度の事も注意出来ない人
        ばかりという事を言いたいんだよ。
        親コメント
  • by kx (10515) on 2003年01月07日 4時49分 (#231045)
    IISからApacheに移行
    しかしCodeRedに感染するような管理者がApacheに移行したところで
    管理能力は変わらない罠
  • ところで (スコア:2, 参考になる)

    by gachon (4163) on 2003年01月07日 9時29分 (#231093) ホームページ
    調査した結果の簡易版とはいえ、会社のURLとサーバの種類と穴の数をPDFで公開しているんだけどあれっていいのかなぁ?

    晒さなくたってやられるところはどうせやられるんだといわれりゃそれまでだけど
    • by ratis036 (3975) on 2003年01月07日 11時00分 (#231117) ホームページ
      ちゃんと常識の分かってる人なら調査結果を報告した後、その問題点が修正されたサーバだけをリストアップするでしょうよ。

      # そう思いたい。そうであって欲しい....
      親コメント
      • by Anonymous Coward
        調査結果を報告した後、いつまでたっても修正されないんでしびれ切らしてリストアップ、というのもあるかも。
        • Re:ところで (スコア:1, 参考になる)

          by Anonymous Coward on 2003年01月07日 17時33分 (#231323)
          残念ながらそれはなさそう。

          推定理由
          ・予備調査から晒されまで1カ月なし(実質2週間)
          ・予備調査時と晒され時での調査サイト数が約3倍

          後、別スレッドだけど
          >相手に通知して対処が済んだ後の公開であれば良いのですが、

          の可能性も薄そう。1月5日調査の1月6日発表なんで

          調査日 IIS Apache Netscape その他 合計 調査サンプル(PDF)
          2002/12/13 207 795 146 94 1242 予備調査
          2003/01/05 532 2119 290 423 3364 ダウンロード
          親コメント
    • お金払えば (スコア:1, 興味深い)

      by Anonymous Coward on 2003年01月07日 16時22分 (#231257)
      全リストを買えるみたいなんですけど。

      これも簡易版なんだろうか?どこまでが暴露されているんだろう?

      売る方も売る方だけど、買う人って何のために?
      親コメント
    • by Anonymous Coward
      「対処法がわかってる穴」だからいいんでない?
      #「対処法不明の穴」を無邪気に指摘ってんならォィォィと思うけどね。
      • by Anonymous Coward
        相手に通知して対処が済んだ後の公開であれば良いのですが、単に公開するだけなら、おもしろ半分の晒しと取られても仕方ない。

        他人の家でカギ閉め忘れているのを、ドロボウに解る所に公表すると幇助と取られるのと一緒だから、軽々しくしていいものでは無いと思いますが。

  • by nobuhiro (5244) on 2003年01月07日 8時13分 (#231070) ホームページ
    NimdaやCodeRedが猛威をふるったのをきっかけに、IISからApacheへ移行したのに
    エラーログを見ると未だに猛威をふるっているような気が...。
    今からでも遅くないので、取りあえずは移行して欲しいと思うのは私だけでしょうか。(^_^;)
    --
    • Re:移行した? (スコア:4, 参考になる)

      by nobuhiro (5244) on 2003年01月07日 9時35分 (#231096) ホームページ
      どのくらい移行しているのか気になったのでNetcraftの統計 [netcraft.com]を見てみると、この一年でシェアが 35% → 28% 程度と 7% ほどの落ちこみになっていました。

      確かにシェアは落ちてるけど、サーバ全体の増加率を勘案すると IIS の絶対数は減ってないかも。

      --
      親コメント
    • by SteppingWind (2654) on 2003年01月07日 15時35分 (#231219)

      移行もなにも、IISが動いていることを知らないような人がまだ多いのでは。

      親コメント
    • by Anonymous Coward
      移行というか今ごろ対処ができてないような管理者は1から勉強し直すか
      別な職に就いた方がいいでしょう。
      そういう管理者が移行してくるとますますこの手の記事が増えそうだ
      • by yab (5037) on 2003年01月07日 15時59分 (#231235) ホームページ 日記
        えっと、私が思うに。Web Serverの管理者って、まともに任命されている所もあるが、まともに任命されていない(=てんでプロフェッショナルじゃない)管理者が増えていると思います。印象で実証を上げてませんが。

        ということで、(1) サーバ管理は「ちゃんとした仕事なのだ」というのを、大々的に広めるか、(2)素人でもできるようにするのが良いのでしょうね。

        昔から、(2)をするんじゃと、言う人は多いけど、私の不勉強のせいか、あまり上手にいっている例をみていない。もし、例があれば教えてほしい>/.-Jの皆さん。
        親コメント
  • 一口にセキュリティホールといっても、
    > バージョン確認だけではなく、各種セキュリティホールチェックツールでテスト
    ってだけだと、何を見てるのかわからないのが残念。

    # 極端な話、「公平な条件であるかは疑わしい」と言われてもしかたない…。

    # ApacheもIISも使ってるのでAP
    • ちょっと気になるんだけど、
      > バージョン確認だけではなく、各種セキュリティホールチェックツールでテスト
      ってやばいんじゃないでしょうか。

      ツール(というとまず思いつくのがnessusですが)でテストするということは、少なからぬ「中途半端なリクエスト」や「怪しいリクエスト」が対象のサーバに飛んでるって事ですよね。
      ともすれば不正アクセスに勘違いされそうな気がするのですが...。

      そもそも、検査ツールの注意書きには必ず「知らない相手や事前に知らせてない相手にチェックかけちゃダメだよ」って書いてあると思います。
      この検査をした会社は、リストに載ってるすべての企業(の情報システム担当?)に「チェックしますのでご了承くださ~い」と問い合わせをしてまわり、かつあれだけの企業に許可をもらったのでしょうか?

      こういう行為が、いわゆる「不正アクセス禁止法」に反する行為かどうかについて調べてみたのですが、どうも「これだ!」という回答にたどり着けませんでした。
      実際のところは不正アクセスになるんでしょうかねぇ。

      #教えてエラい人!
      親コメント
      • by Anonymous Coward on 2003年01月07日 21時07分 (#231455)
        アイ・サイナップの調査が、バージョン情報以外のもの
        も見てApacheの問題を総合的に判断しているなら、
        おそらく、
        http://www.asahi-net.or.jp/~ps5k-etu/secinfo.htm
        に出ている「N-Stealth : Webサイトの脆弱性検出の最強ツール」
        を使用しているものと思われます。

        同社は、「不正アクセス行為の禁止等に関する法律」に
        ついてもサイトで言及しているわけですから、3400社全
        てに許可をもらったか、または、強力な脆弱性スキャン
        はしなかったかのどっちかだと思われます。

        どっちにしても、このような議論を呼ぶだろう事が予想
        出来ただろうにもかかわらず、この辺りの事をはっきり
        させていないのは、ちょっと御粗末だと思います。
        誰もデータを信用しないでしょうね。

        まあ、いいんじゃないですか。小さなセキュリティ市場
        の新参コンサルがこけたところで、業界に与える影響な
        んてありません。市場が判断する事だし。
        親コメント
    • 実際、公平な条件なんて難しいですよ。

      だから、あの記事は、移行しただけで安心して放置されて
      いるサーバが多いんだぁ、気をつけんとなー、という注意
      喚起だと思うのが吉。

      文句がある人は調査元に注意すれば。
  • by Anonymous Coward on 2003年01月07日 3時32分 (#231033)
    垂れ込み文も至極まともでその通りだと思うのですが、何故ソースではIISヨイショなタイトルが付くのだか。ソースの内容説明もMS色。
    事実に誘導ベクトルを与える。この辺はいつも変わりませんね。
    せっかく第三者が調査し記事にするのだから爆弾投げあうゲームでなくて全体に益を与えるスタンスを、と期待したいのですが。

    # 外注先にIISがありXSSも残っていればSQLserverにパスワードがかかっておらずワームにはポート番号を変えるだけで対応するヘボっぷり。いつも最大のセキュリティホールは人と思いつつAC
    • by Anonymous Coward
      事実にはいろんな見方があるわけだからそう目くじら立てなくてもいいんじゃない。
      スラッシュドットの前の話題のように事実に反したことでもアンチマイクロソフトな内容なら受け入れられるというお話よりははるかにマシです。
    • >事実に誘導ベクトルを与える。

      ここ [srad.jp]に比べればまあマシだと思われますが。

      #自分に都合が良ければ「違う観点」
      #都合が悪ければ「ベクトルがかかっている」
      #では子供の思考ですな。
    • 記事タイトルをスポーツ新聞と同じノリで決めている。
      のでなければ、○○から依頼されて平気で乗せています。
      もともと品位も権威も無いので良いんです。みんなわかっ
      ているでしょ?

      セキュリティホールの数だけでどうのこうの言うアイ
      • かつて「セキュリティホールの数が少ないからapacheが優れている」
        といった記事は多数みたことがあります。しかしこういう反論は初めて見たな~。
        どうしてでしょーかねー。
        • 投稿する前に良く考えた方がいいぞー。

          元々数で比べる事に無理あるでしょ。
          「apacheの方が~」なんて誰かが言っていたとして、
          それは単純に数だけの問題では無かったはず。

          root取られる場合と、nobody(apache)アカウント
          取られる場合で
          • いや、ソレを言うなら、
            apacheの脆弱性をついてrootを取るようなツールも、多くあると思うのですが…
            貴方自身が仰っているように、元々数で比べる事が無意味なのですから
            無闇にどちらか片方を貶めるような論調は、控えたほうがよろしいかと
            • IIS って Administrator 以外でも運用できるの?
              できるとしたら、それって一般的なの?

              たいていの Linux ディストリビューションだと、
              Apache は nobody (または専用のユーザ)で動いてるようだけど。

              クラックした結果、奪えるのがどのレベルの権限なのか、
              そこが明らかになれば安全性の比較もできないことはないと思われ。
              --
              # mishimaは本田透先生を熱烈に応援しています
              親コメント
            • そういうツールは、全てのapacheに有効なわけではない。
              なぜなら、バイナリがバラバラだから。
              一方、IISは簡単。MSのバイナリしかないから。
              • そんなこと言うなら、「IISだって全てのIISに有効なわけではない。」
                って返されて終わり。
                もっと説得力のある反論を考えよう。
    • by Anonymous Coward
      …あたりでちょっと引っ掛かった。
      別に拡大はしてないんじゃないかな。
      ヘボ管に何使わせてもヘボってことで、現状維持はあるかもしんないけど。
  • by Anonymous Coward on 2003年01月07日 8時15分 (#231071)
    こちら [asahi-net.or.jp]になります。

    #ニセもんじゃねーぞ。i-cynap [i-cynap.com]から単葉フレームでhttp://www.asahi-net.or.jp/~ps5k-etu/ [asahi-net.or.jp]を呼んでいて、その中だからな。
  • by Anonymous Coward on 2003年01月07日 15時23分 (#231214)
    この人誰?
typodupeerror

ナニゲにアレゲなのは、ナニゲなアレゲ -- アレゲ研究家

読み込み中...