NTTデータ・セキュリティのサイト管理者によるコラムセキュリティ企業として「Web改ざん」について最適解を考えてみた
<第三話>「CD-R化を実際に運用してみて(後編)」

本コラムは、Gumblarの脅威の一つである「Web改ざん」の対策にフォーカスをあてた内容になっています。


少し、更新間隔があいてしまい、誠に、申し訳ございません。
運用を開始して、すぐにでも皆さんに報告をさしあげたかったのですが、頻繁に更新があるわけではありませんので、ある程度、問題が発生しないかなどのサンプル期間を設けておりました。


Gumblarは沈静化したのか?

2010年も7ヶ月が過ぎ、少し前まで世間を賑わせていた「Gumblar」という言葉もあまり聞こえなくなってきました。はたして「Gumblar」は沈静化したのでしょうか。このコラムに興味を持ち賢明な読者であれば、答えはご存知だと思います。


「No」です。



ここに興味深いニュースがあるので、ご紹介します。

G Data Software株式会社の調査によると、2010年4月に多発したウィルス1位はPDF攻撃(Gumblar系)の「JS:Pdfka-OE」という名称のウィルスでした。

http://gdata.co.jp/press/archives/2010/05/pdf1.htm

検出したウィルス全体の1割以上(11.4%)を占め、2位のウィルスが1.7%という数字なので、突出して多いということがよくわかります。

この結果からもわかるように未だ「Gumblar」の猛威はとどまるところを知りません。
つまり、この進化し続けるウィルスに私たちは日々対策を考え続けなくてはいけないわけです。

そして、ここにきて、サイト改ざん時に訪問者を誘導するために挿入するJavascriptコードにも変化が見られているようです。従来の改ざんでは、難読化という手法を用いて一見何が書かれているのか分からないコードが挿入されていました。


コード


しかし、現在、挿入されるコードの中には下図のようなものが現われました。


コード


どこに誘導されるのかということがソースコードを見れば一目瞭然といったパターンです。

以前の難読化パターンのほうは、何が書いてあるのか一見分からないので攻撃者にとって都合がよいのではないか?という考え方もあると思いますが、最近現れたパターンは、あまりに単純であるために特徴に乏しく、パターンマッチしづらいという考え方もあります。

現に、検索エンジンなどで改ざんされているサイトを探すための手がかりはURLしかなく非常に発見しにくくなっています。もちろん、この手法が完璧な発見回避の方法ではありませんが、攻撃する側も常に、あの手、この手で攻めてきているということが言えるのではないでしょうか。

CD-R化の結果

さて、CD-R化してから、4ヶ月以上たち、運用メンバーもCD-R化での運用にすっかり慣れました。
CD-R化を検討していたとき、今までのようにFTPで更新する場合に比べて非常に負荷が高くなるのではないか、迅速にコンテンツを更新できなくなるので、業務のサービスレベルが著しく低下するのではないかなど、CD-R化に慎重かつ否定的な意見が少なくありませんでした。

ところが、実際に運用してみると、運用メンバーからは更新の手間においてさほどの差が無く、概ね問題が無いとの感想をもらい、導入した側としては、ほっとしています。

とはいうものの、更新のたびにCD-Rに書き込むということは、前回分のCD-Rを処分しなくてはならなくなり、従来なかった廃棄物が出てしまうことに、時代の流れと逆行してエコではないということにメンバーが若干の後ろめたさを感じているように思えます。

<前編参照>

しかし「Gumblar」への対策として、運用面で多少ネガティブな事実がある反面、パフォーマンスの面でポジティブな事実もありました。

こちらのグラフをご覧ください。CD-R化を行った前後のサーバのCPU負荷状況、メモリ使用状況、レスポンスタイムです。


グラフ


CD-R化前と後で、ほとんど変化が無いのがお分かりでしょうか?
ここから見てとれるように、パフォーマンス面でも問題ないと言ってしまっても過言ではないでしょう。

しかし、問題が発生

こんなに順調なら、ずっとCD-Rで運用しても良いかなと思っていたある日、WebサーバにCD-Rをマウントしても認識しないという事態が発生しました。再度別のCD-Rに書き込みマウントしたところ正常に認識をしたので、記録面を確認してみると、細かな傷がいくつか付いていました。おそらく、これが原因だったのだと思います。

他には、更新時に誤植などが発生した際に、細かい修正を行うためもCD-Rを焼き直す必要があるため、運用メンバーの拘束が発生してしまいます。
弊社のコンテンツの1つである「脆弱性検証レポート」は、比較的、更新頻度の高いコンテンツです。このコンテンツでは、日々、発見されている脆弱性の検証結果についてのレポートを行っているという性質上、更新スケジュールをあらかじめ、引くことは、できません。弊社のエンジニアに「昨晩、検証してきたので、今日、書きますから。」と朝1で言われることもしばしばあります。

セキュリティだけに気を取られて、利便性を犠牲にするわけにはいきません。

セキュリティも運用の一部。便利なものを安全に。よいバランスを保ちながら最適解を探すために私たちはCD-R運用をこのまま続けていくべきか、今一度考えてみることにしました。

※各規格名、会社名、団体名は、各社の商標または登録商標です。

次回予告

弊社が考えた、弊社にとっての最適解についてお伝えします。そのままCD-Rで運用し続けているかもしれませんし、別の方法になっているかもしれません。

今後の情報にご期待ください。

このページの最上部へ