こんにちは、こんばんわ。猫とこたつで丸くなってみかんを頬張るのが毎年楽しみな、にゃんこ師匠です。

今年(2014年)は、比較的堅牢とされていたSSLやUNIX/Linuxの信頼性が大きく揺らいだ年でもありました。

IPA(独立行政法人 情報処理推進機構)による重大な脆弱性のリストによると、「緊急」の項目は2013年以降に急増しています。

これまではPC感染型の脆弱性が多かったのに対し、2013年くらいからサーバ技術に関する重大な脆弱性も多く発見されており、サーバ運用における不正改ざんや脆弱性対策は一層重視されています。

Webシステムの根幹的な脆弱性も問題に

特にBINDの脆弱性(関連記事)、Open SSLの脆弱性(別名:POODLE 関連記事) 、bashの脆弱性(関連記事)等、サーバ関連の重大な脆弱性が喚起されました。

特にフォーム関連ではOpen SSLの脆弱性とPOODLEが非常に大きな問題で、クライアントとサーバの双方に重大な脆弱性です。

POODLEとは

POODLEとは”Padding Oracle On Downgraded Legacy Encryption”の略称。

一般利用者が知らないうちに、攻撃者はこの脆弱性を悪用してサーバのデータを窃取できます。(中略)当該脆弱性を悪用できる攻撃コードが公開されており、その攻撃コードを用いたと思われる通信も観測されているとの情報があるため、至急、対策を実施して下さい。

当然、弊社も全てのサービスについて適用しました。本件の脆弱性が公表された時には問い合わせも多く、また、影響も多かったようです。

この脆弱性は発表された当初、悪名高き(?)IEだけに既に対処方法があるという、個人的にもレアなケースと認識しています。今現在は、Chrome / Firefoxも対策済みですが、Safariはまだのようです。社内において、MacユーザにはChromeを使うように指導するしか対処方法が無いようです。

クライアントチェックは以下でSSL3.0がYesになったら脆弱性有り。
https://www.ssllabs.com/ssltest/viewMyClient.html

社内からの情報漏えい

社内の指導と言えば、社内から情報を盗み出し販売する大型の個人情報漏えい事件もありました。超大型の個人情報漏えい事件は、従来とは桁違いの漏えい件数で問題の根深さも浮き彫りになりました。

http://ja.wikipedia.org/wiki/個人情報漏洩

私たちのサービスはお客様のフォームと関与するためこうした情報をセンシティブに受け止め、即時の対応をしております。本文にあげたものよりも、もっと小さな脆弱性に随時対処をしてきましたが、この1年は最近の中でも特に対応が必要な年だったと感じています。

対策して終わりではない

よく聞く失敗例が「新設したサーバが脆弱性を抱えていた」「アップデート漏れ」「巻き戻り(古い設定に戻る)」「社内端末からの再感染」などです。

一度漏えいしたデータは取り戻す事も削除する事も、ほぼ不可能です。定期的なチェックが欠かせません。

年を越す前に、社内運用徹底、マニュアル整備、サーバ確認、社内PC全台チェックをぜひ行いましょう。

イメージ写真はクリエイティブコモンズ・ライセンスに基づき掲載しています。 写真掲載元:Intel Free Press