IaaSセキュリティはどこが危ない? テスト結果を公開企業が取るべきIaaSセキュリティ【前編】

クラウドサービスの中で、企業が負うセキュリティ維持の責任が最も重いモデルがIaaSだ。RackspaceのIaaSを使った標準的な仮想サーバでセキュリティテストを実施。企業が取るべきセキュリティ対策が明らかになった。

2011年12月20日 09時00分 公開
[Joseph Granneman,TechTarget]

 Infrastructure as a Service(IaaS)を使えば、企業はマウスを数回クリックするだけでサーバやストレージ、ネットワークのリソースを作成できる。だがIaaSはクラウドサービスの中では、ユーザー企業が負うセキュリティ維持の責任が最も重いモデルだ。米Amazon Web Services(AWS)や米Rackspace Hostingなど、主要なIaaSプロバイダーは既に低レベルのインフラについてはセキュリティを確保している。だが企業が自社で管理すべきサーバのセキュリティ対策が不適切な場合には、どうなるのだろう? またこうした仮想インフラでは、サーバはどのようなタイプのリスクにさらされているのだろうか? こうした疑問の答えを見つけるべく、私はRackspaceを使った標準的な仮想サーバでテストをしてみた。このテストからは、IaaSのセキュリティを確保するために企業が取るべきセキュリティ対策が明らかになった。

会員登録(無料)が必要です

IaaSセキュリティテストの設定

 テストでは、ApacheやSSH、FTPといった一般的なサービスをホストするためにFedora 13でLinuxサーバをプロビジョニングし、標準的な企業サーバで提供されるであろう各種のサービスをシミュレートした。Rackspaceはネットワークセキュリティの構成に関して多数のオプションを提供しているが、いずれのオプションもデフォルトでは有効化されていない。テストでは構成管理のエラーをシミュレートできるよう、Rackspaceのデフォルトのネットワークセキュリティ設定をそのまま利用し、オープンソースのIDS(侵入検知システム)「Snort」をインストールした。ルールセットには、登録して使用するRegisteredルールセットと最新の脅威に対応するルールセットの両方を用いて、結果をモニタリングできるようにした。SMTP(メール)やSamba(Windowsファイル共有)など、ハッカーから注目を集めやすいサービスは意図的に除外した。そうしたサービスまで含めれば、プローブ(脆弱性の探索)の件数があまりに多くなり、テストを対処可能な範囲に収められなくなることが懸念されたからだ。今回のテストの主要な目的は「Rackspaceのセキュリティ設定だけ忘れてしまった有能なITスタッフによるサーバ設定」をシミュレートしてモニタリングすることであるため、Fedoraのセキュリティについては入手可能なパッチを全てインストールした。

SSHブルートフォース攻撃

 最初に検知されたプローブは、経験豊富なLinuxサーバ管理者であれば何度も遭遇したことがあるであろうものだ。自動化されたボットが直ちにSSHポートを見つけ出し、その後、サーバ上のユーザーアカウントに対してブルートフォース攻撃が仕掛けられた。テストでは、このタイプの攻撃が大勢を占め、全体の66%以上の攻撃がSSHプロトコルに向けられた。最も、こうしたブルートフォース攻撃は洗練されておらず、一般的なアカウント名やデフォルトのパスワードを探すだけのものであり、いずれも成功はしなかった。ただし、これらの攻撃のせいで管理が必要なシステムログが多数生成された。デフォルトのアカウント名や簡単に破られるパスワードを使っていれば、サーバは危険にさらされていたかもしれない。ここでの教訓は以下の通りだ。SSHは攻撃を受ける危険性が高く、クラウド環境においてもホスト環境と同様にセキュリティ対策を施すべきである。

VoIP攻撃

 次に多かったのは、はるかに具体的で意外なプローブだった。「SIPVicious」と呼ばれるオープンソースのセキュリティスイートを使った、VoIPシステムを標的としたプローブだ。SIPViciousツールは、本来は管理者が社内のVoIPシステムを検査したり、検知されたセキュリティ上の問題を修正したりするためのツールとして開発されたものだ。だがその他の多くのセキュリティツールと同様、SIPViciousツールもハッカーがインターネット経由でVoIPシステムのセキュリティ上の弱点を突く手段としても使われている。当然、Rackspaceのテストサーバには悪用されるようなVoIPサービスは何もインストールされていなかった。このプローブは単にインターネットをスキャンして脆弱な電話システムがないかを探す、自動化されたボットにすぎなかった。だがこの自動ボットを作成した人物にとっては、このテクニックが成功したこともあるはずだ。「企業のVoIP電話システムを匿名で使用できること」に対して犯罪者が強い動機を抱くのは当然のことだ。ここでの教訓は以下の通りだ。インターネットにさらされるVoIPシステムには強力なセキュリティ対策を講じること。

データベース攻撃

 その次に多かったのは、Microsoft SQL ServerやOracle Database、MySQLなどのインストレーションから弱点を突けそうなデータベースシステムを探そうとするプローブだ。中には、こうしたデータベースシステムのネイティブなサービスポートである1433、1521、3306ポートへの接続を試みるシンプルなものもあれば、Rackspaceホストに対して実際にサービス拒否(DoS)攻撃を仕掛けようとするもの、他のホストを標的にバウンス攻撃を仕掛けようとするものなどもあった。驚くべきことに、Rackspaceホストに感染しようとするSQL Slammerワームのインスタンスすら見つかった。SQL Slammerは作成から8年以上もたつマルウェアだ。ここでの教訓は以下の通りだ。このタイプの攻撃を防ぐためにはインターネットへのデータベースの露出を極力制限すること。

 後編では、検知したプローブの発信国別ランキングを発表する。

Copyright © ITmedia, Inc. All Rights Reserved.

新着ホワイトペーパー

事例 株式会社BeeX

わずか4カ月でデータ分析基盤の内製化に成功、ロッテに学ぶDX推進の秘訣

ロッテはシステムのAWS移行を進める中、DX推進の鍵は内製化比率の向上にあると考え、内製化の強化に踏み切った。本資料では、内製化の実現に向け、支援を受けながら、初めて取り組んだAWS開発と人材育成を成功させた事例を紹介する。

製品資料 株式会社AIT

国際間の映像データ配信や拠点間での動画共有も高速で、ファイル転送の注目手法

大容量データの送受信には、通信遅延や帯域制限の課題がある。本資料では、高速で安全なデータ送信を実現できるファイル転送プラットフォームを紹介する。導入時に気になるポイントとともに、料金プランも分かりやすく解説している。

製品資料 発注ナビ株式会社

リードが商談化できない? SaaS導入のベンダー側と企業側の悩みを一掃する方法

SaaSの利用が拡大する中、ベンダー側と企業側の両方がさまざまな課題を抱えている。ベンダー側は商談につながるリードが獲得しにくいと感じており、企業側は製品の選定に困難さを感じているという。双方の課題を一掃する方法とは?

製品資料 NTTドコモビジネス株式会社

多様なデータを一元管理、次世代のコンテンツ管理基盤とは?

従来のファイルサーバで対応できない多様なデータを、効率的に管理・共有できる「全てのコンテンツ保管庫」として、クラウド型コンテンツ管理基盤にVPN接続機能を組み合わせたサービスが注目されている。その特徴をマンガ形式で紹介する。

製品資料 株式会社マヒト

3分で分かる、「名刺発注業務」を効率化するポイント

従業員の自己紹介に加えて、企業間の関係構築においても重要な役割を担う名刺だが、その発注業務は意外と手間がかかる。名刺の作成から注文まで、ミスを発生させずに効率化するにはどうすればよいのか。本資料では、その解決策を紹介する。

アイティメディアからのお知らせ

From Informa TechTarget

「テレワークでネットが遅い」の帯域幅じゃない“真犯人”はこれだ

「テレワークでネットが遅い」の帯域幅じゃない“真犯人”はこれだ
ネットワークの問題は「帯域幅を増やせば解決する」と考えてはいないだろうか。こうした誤解をしているIT担当者は珍しくない。ネットワークを快適に利用するために、持つべき視点とは。

ITmedia マーケティング新着記事

news017.png

「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。

news027.png

「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。

news023.png

「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...