NTTデータ・セキュリティのサイト管理者によるコラムセキュリティ企業として「Web改ざん」について最適解を考えてみた
＜第二話＞「CD-R化を実際に運用してみて(前編)」

本コラムは、Gumblarの脅威の一つである「Web改ざん」の対策にフォーカスをあてた内容になっています。

終わらないWeb改ざんの脅威

第一話を公開した際に、色々な方から意見をいただきました。
「サーバを乗っ取られては意味がない。」
「運用が困難なだけ」などなど。

「サーバを乗っ取られては意味がない。」はごもっともな意見だと思います。
コンテンツが書き込み不可であったとしても、サーバの制御を奪った後、公開ディレクトリを変更することで外部からは改ざんされている場合と同じように見えます。
しかし、今回の企画のきっかけとなったGumblarは、すべての修正プログラムを適用し、強固なパスワードを設定した環境で乗っ取られる可能性が低いと判断できるサーバ運用であっても、コンテンツ更新の運用に用いているコンピュータに保存されたパスワードという小さな穴を利用することで大きな脅威となりえました。
その脅威からの保護の最適解を考える上での第一歩としてコンテンツのCD-R化をはじめました。
私たちはお客様にセキュリティ製品やサービスを提供することを生業としておりますが、新たな脅威が誕生したのをきっかけに製品・サービスを売るという役割だけを担っているわけではないと考え、頂いた意見にあった「運用が困難なだけ」という意見の検証も含めて一つの形を模索してみようと考えおります。

もちろん、これだけで大丈夫というわけではありません。
多方向から多数の脅威が迫ってくる中で保護する側もソフトウェアを最新に保ち、認証を強固なものにする、不要なサービスは停止するなど様々な方法を組み合わせて保護していく必要があるのだと考えています。

加害者にならないために

2010年を迎えて3ヶ月が過ぎましたが、あいかわらず、Gumblarが世間を騒がせています。
最近はクライアント側でJavaScriptを無効にしても防げない新たな「Gumblar」も出現しています。
今までのGumblarは、Webサーバのコンテンツに不正なJavaScriptを埋め込み、目的のWebページを表示しつつ、バックグランド処理で攻撃用サーバにリダイレクトしていました。このため、クライアント側でWebブラウザのJavaScript機能をオフにしたり、「NoScript」などのアドオンでJavaScriptをコントロールすることで、攻撃用サーバへの誘導を防げたのですが、新しいGumblarはこの方法では防げません。
新しいGumblarは、正規サイトのWebページにJavaScriptを埋め込む代わりに、悪質な設定ファイル（.htaccess）を用いることで、同サイトにアクセスしたユーザーを攻撃用サーバへ誘導する仕組みになっています。

CD-R化をしてみた感想

CD-Rなら新たなGumblarの脅威に対しても問題無いので安心ですが、気になる運用面について中間報告をします。
まだ運用してから1ヶ月足らず、正式には後日改めて報告します。

現在のところ運用するメンバーから、特に不満の声はあがっていません。想像していたより順調です。
このコラムをご覧になっている皆様どうでしょうか？CD-Rで運用しているかどうか、特に見わけがつかないと思います。

しかし、難点はあります。

コンテンツの更新は、以前はサイト管理者がFTPでアップロードするだけで更新できましたが、今はCD-Rに焼いた後、情報システム部の人にCD-Rを渡し、情報システム部の人がCD-Rの入れ替えを行っています。他部門の工数が少しかかってしまいます。
また、コンテンツを更新する際に、CD-Rの入れ替えを行うので、その瞬間ほんの数秒だけですがアクセスした際にNotFoundになってしまいます。ちょうど更新の際に、当社サイトに訪れて頂いた方は、404エラーが見ることができます。もしご覧になれたら、ラッキーなことがあるかもしれません。

あとは、更新の度に新たにCD-Rを焼き、役目を終えたCD-Rは粉砕します。エコじゃないという気がします。

CD-Rと同等のセキュリティ強度で、かつ、もう少し運用しやすい方式を検討する価値はありそうです。