.co.jp 17万件のサーバー調査 61
ストーリー by yourCat
脆弱サーバー3万件 部門より
脆弱サーバー3万件 部門より
dai75 曰く、 "NetSecurityの記事によると、「国内最大のセキュリティ情報サービス "Scan Security Wire"(バガボンド社)とネットワークリスクマネジメント協会( NRA )は、共同で、国内企業サーバの実態調査結果を収録した「SCAN NRA Security Alert」を発表した」そうです。
.co.jp ドメイン17万件を調査と、調査対象が広く説得力のある統計。特定できた Webサーバー15万件の 82% が apache。特定できたOS 11万件の40%がSolaris、30%がLinux。特定できたホスティング事業者12.5万件の10%がOCNでトップ。脆弱なサーバーは20%だそうで、これを多いと見るか少ないと見るか。"
想像していた数字とはいろいろズレがあり、国内企業サーバーの最新動向が分かってたいへん興味深い。
なお、NetSecurityでは以下の4本の記事が読める。
どうでもいい疑問その2 (スコア:2, すばらしい洞察)
どこから.co.jpドメインのリストを入手したんだろうか?
ちなみに、既に入手している人から横流ししてもらったり、他の目的のために入手しているリストを別目的に流用するのは属性型(組織種別型)・地域型JPドメイン名リスト利用に関する同意書 [nic.ad.jp]により禁止されている。
も一つ疑問は、仮に何らかの方法でドメイン名のリストを入手したとして、どうやってWebサーバを探し当てたんだろう?
www.を付けてhttp://www.sample.co.jp/とやっただけかな?
http://web.sample.co.jp/とかhttp://sample.co.jp/とかでしかWebサービスしてない所はまぁ統計的には無視して良い程度ではあると思うが...
Re:どうでもいい疑問その2 (スコア:1)
IPネットワーク範囲でやって、後から逆引きではないかなぁ。
Re:どうでもいい疑問その2 (スコア:1)
Name-Based VirtualHost 全盛ですし。
Re:どうでもいい疑問その2 (スコア:1)
しかし、ほとんどはサーバーは一つな訳ですから、サーバー調べる分には十分かなと。
何にせよ、どんな調査方法かによりますね。
Re:どうでもいい疑問その2 (スコア:1)
ここに書く方法は、今はできないみたいだけど、"CONN 指定事業者略称" で whois すると、その指定事業者の管理ドメイン一覧が入手できました。そして2001年3月時点でのJPNIC会員一覧は JPNIC の anonymous ftp サーバにあるので、この一覧から会員略称を抽出して、上記のwhoisを総当りでやれば、JPドメイン(地域型・属性型)のリストが手に入るわけ。
今だと、これに近い方法としては、ISPのネームサーバ名を参照する情報を検索すれば、そのISPで契約しているドメインがわかります。ホスティング利用の場合はネームサーバはISPだし、自前で運用している場合でも大半はセカンダリDNSをISPのサーバで運用しているはずだから この方法でもそれなりのリストが作れます。たとえば、slashdot.jp のDNSサーバのうち、vans.valinux.co.jpを参照する情報を検索すると、こうなります。 [nic.ad.jp] これを見ればわかるとおり、汎用JPドメインもリストアップされます。 あとはネームサーバの一覧さえあれば、だれでもJPドメインのリストを作れます。
Re:どうでもいい疑問その2 (スコア:1)
そもそも、このような目的で調査をしたいのであれば、そういう手練を使わなくても、正式にJPNICにドメインリストの公開依頼をしてドメインリストもらえば済む事でしょ?
Re:どうでもいい疑問その2 (スコア:1)
今回のような目的だと、同意書第4条の「データベースを第三者のセキュリティを脅かす恐れのある行為に使用しないこと」に引っかかってドメインリストの提供を受けられないんじゃないかと思うんですが。
Re:どうでもいい疑問その2 (スコア:1)
実際にセュリティーホール突いてみるってな調査方法だと問題だけど。
後は公表する場合のやり方の問題で、具体的なサイト名を列記して「ココは危ない」とかやっちゃうとマズいだろうけど、統計的に「何%が危ない」という事を出すだけなら問題無いんじゃないかなぁ?
まぁ、その数字をみて「おぉこんなに脆弱性を持つサイトがあるのか。だったらちょっと弄ってみよう」と思われてしまえば「第三者のセキュリティを脅かす恐れのある行為」かもしれないけど、ある程度脆弱性のあるサイトが存在するというのは、だいたい誰でも知ってる(というか予測している)事だし、それが単に具体的な数字になっただけなので、取り立てて「第三者のセキュリティを脅かす恐れのある行為」と言うほどの事はないんじゃないでしょうか?
むしろ、啓蒙になるとかそういうプラス面もあるかもしれないし。
まぁ、それをどう判断するかはJPNIC次第なので何とも言えませんが...
Re:どうでもいい疑問その2 (スコア:1)
その上、そんなアヤしげな情報ソースにも関わらず「国内のすべての企業サーバ」と言い切っているあたりアヤしいなぁ
こんないいかげんな調査に50万払う人がどれだけいるんだか
#72023のACさんには個人的に(参考になる:+1)差し上げたい(^^;
どうでもいい疑問 (スコア:1)
アレだけの母体数だったら許可なんて取ってられないし
バナーだけで判断かな?
あとクロスサイトスクリプティングは脆弱性に含まれているのだろうか?
これを含めるともっとありそうな気がしないでもない
Re:どうでもいい疑問 (スコア:1)
どうやってチェックしたのかは分からないけど、つっついてみてその反応見たんでしょうね。
-- wanna be the biggest dreamer
そんなの簡単じゃん (スコア:1)
などとすればサーバーのバージョンが判ります。これは、単にブラウザでアクセスするのと同じで、許可が必要なワケはありません。sorede, 既にセキュリティーホール(クロスサイトスクリプティング含む)があると判っているバージョンだったら、それだけで「危険」だとわかるでしょ?
Re:そんなの簡単じゃん (スコア:1)
Apache なら ServerTokens [apache.org].
-- wanna be the biggest dreamer
Re:そんなの簡単じゃん (スコア:1)
ええ、おっしゃる通りですが、隠す事まで考えていないない所が多いんじゃないでしょうか? (自分でも100個所ぐらいサンプルとしてやってみて、調べてみようかな)
もっとも、telnet 80 以外の方法でバージョンを特定する方法も幾つか頭に浮かびますが、、、(要は、突っつくという事ですが)
バージョン番号 (スコア:2, 参考になる)
Debian の安定版の場合には、セキュリティ上の問題が見つかった場合、通常はバージョンアップせず、パッチをバックポートします。ので、バージョンで判断すると、問題あり、ということになってしまいます。
他の場合は知りませんが。
Re:そんなの簡単じゃん (スコア:0)
Re:そんなの簡単じゃん (スコア:0)
Re:そんなの簡単じゃん (スコア:0)
妙な日本語やね。
Re:そんなの簡単じゃん (スコア:1)
apache は単なる一例として挙げていることもちゃんと読めば分かる。
# あー、もう。formkey のエラーは腹立つなぁ。
-- wanna be the biggest dreamer
Re:そんなの簡単じゃん (スコア:1)
てっきり一つ一つ「本当に」セキュリティホールを突いてみたのかな?と思っただけで
#やった時点で法的にまずいゾーンに突入ですね(^^;
Re:そんなの簡単じゃん (スコア:1)
クロスサイトスクリプティングってWebサーバやOSのバージョンと関係があるんですか?
知りませんでした。
もし良かったら、後学のためにポインタだけでいいので教えてください。
tai
Re:そんなの簡単じゃん (スコア:2, 参考になる)
Re:そんなの簡単じゃん (スコア:1)
office
Re:そんなの簡単じゃん (スコア:1)
office
Re:どうでもいい疑問 (スコア:1, 参考になる)
含んでいないと思います。
原則的に、XSS(クロスサイトスクリプティング)脆弱性はサーバーソフトウェアそのもののバージョンではなく、そのサーバーソフトウェア上で動作させているアプリケーションの製造上の欠陥に由来します。
例えば、とあるweb掲示板にXSS脆弱性が存在していた場合、まず問題となるのはそのweb掲示板そのもののソースコードであって、サーバーソフトウェアではありません。
従って、どんなにApacheやPerl、PHP、Servletエンジンなどを最新版にしてもそれを用いたアプリケーションの製造者にXSS脆弱性に対する認識が欠けていた場合、XSS脆弱性は容易に発生します。
ですから、XSS脆弱性のチェックと称してサーバーソフトウェアのバージョンを調べるのはチェックになっていません。
# 間違いがありましたら訂正を > 識者のかた
識者ではありませんが、、、 (スコア:1)
Re:どうでもいい疑問 (スコア:0)
「サーバーのバージョンが十分に新しくても、それでXSS脆弱性が無いということにはならない」…それはあなたのおっしゃる通り。
しかし、サーバーのバージョンが古
Re:どうでもいい疑問 (スコア:1)
>があるのですよ。とにかく一度 この文書 [etl.go.jp] を読むと良
>いですよ。
それは知っています。ですから最初に「原則的に」と書きました。
サーバーのバージョンのチェックでXSS脆弱性について判断するのは片手落ちも甚だしい、というのが私の主張です。
ふかよみしてみる (スコア:1)
>・OS のシェアは、Solaris が40%、Linux が30%、Windows が 14%
>・全体の60%以上が外部のアウトソーシングを利用
>・サーバ事業者シェアのトップは、OCN 、2位シェアサイト、3位GMO
>・全体の90%以上が、古いバージョンのソフトを使用
>・攻撃を受けた場合に乗っ取られやすい、きわめて危険なサーバは約3万台20% 弱
>・ワーム被害の拡大は、離れた生きているIPアドレス探索方法で変わる
きわめて危険なサーバーが20%弱だということは
危険なサーバーを含めるともっと多いということなのですね。
#ううむ日本語は難しい…。
斜め読みで十分だって (スコア:1)
> ううむ日本語は難しい…。
日頃、Netsecurity のサイトを見ていれば容易に判断できます。ここはタダで有用な情報が得られるので、お勧め。
危険なサーバーにおけるOSの割合 (スコア:1, 興味深い)
OS自身の脆弱性はもちろん、OS毎の管理者の危険意識の傾向がうかがえるかと。
Re:危険なサーバーにおけるOSの割合 (スコア:1)
相変わらずだね
記事を読んだ (スコア:1)
IIS って、やはりイントラ向けという感じもしますね。
こういうのは、これからも定期的に調査をしてほしいものですね。
超簡単に調べる方法発見! (スコア:1)
いつだったか (スコア:0)
で、半分くらいがNTT製のルータ使っていて、その35%にルータのパスワードの設定がされていなかったね。もちろんサンプリングしてやったので、全部見たわけじゃないんだけど。あのNTTのルータはパスワード設定されて、コンフィグレーションを変更されても、パスワード知らない限りは工場出荷時設定に直す、ということができない、というトンデモ機種だったんですがね。
こういう調査はその母数にもよるけど「サンプリングで十分」ということと、不正アクセスになるおそれがあるので、通常はやってはいけない。と言うことがわかって、それからはやらないようにしたんですが。
Webページを見に行くためにポート80をたたきに行くわけではない、という「動機」の問題がありますから、たとえそれがサイト管理者にそれとわからなくても、通常はやってはいけないこととおもいます。こういうことは。
サイト管理者が「おれは好きで、かつ知っててセキュリティホール開けたまんまにしとるんや!何が悪い?」なんて言われたらどうするんでしょうね?こういうときは「ほかの人の迷惑にならない範囲でならいいんじゃない?」というのが、「自由」っちゅうもんだと思うね。
要するにこの種の調査は多分に「余計なお世話」となる場合が多いんだね。昔「説教強盗」というのがあった、というけど、それに似てるねぇ。
Re:いつだったか (スコア:1)
いわゆる市場調査ですよね、これ。
50万円かぁ
17万件で50万円ってことは、1サイトあたり2.94円。
印税10%として、0.294円貰いたいですね・・・
1レポート売るごとに。
でも、振込手数料で彼らは赤字ですね(笑
「押し売り」もいい加減にせいよ (スコア:0)
そういうことだね。
つまり彼らは「押し売り」ということだね。
Re:いつだったか (スコア:1)
バージョンアップ用のファームイメージを眺めてたら、何やら意味ありげな文字列が...入れてみよ...あ゛入れた...(^^;
もちろん他人様のルータではなく、自前のヤツですから、入れても問題は無い(というか嬉しくも無い(^^;)のですが。
Re:いつだったか (スコア:0)
このサービス (スコア:0)
なんか個人的には・・・
運営している会社を見ても、記事を見ても、かなりあぷなっかしいイメージがあるのは気のせいでしょうか?
Re:このサービス (スコア:1)
気のせいじゃない (スコア:0)
気のせいじゃないね。彼らが書いている文章をよく読むだけで、それが信頼に足らないことをしている、ということがよくわかる。彼らは「ネットを利用したスレスレ詐欺」をやることで有名な人たちだよ。
そう感じたあなたはとっても正しいと思うよ。
Re:このサービス (スコア:0)
なんか、よその会社のセキュリティ情報へリンク集作って
「セキュリティ情報」なんてやってるし。
リンク先のセキュリティ情報を提供してる会社 [softek.co.jp]もなんだか
怪しいしなあ。こう
Re:このサービス (スコア:2, 参考になる)
もしかして、https が暗号化だけだって思ってた?
Re:注意書き (スコア:1)
サーバーの調査したのが、Scan(バガボンド), その結果を元に分析して記事にしたのが NetSecurity でしょ。
NetSecurity が、自社の分析は単純なものにすぎませんよ、と注意書き入れてるわけです。Scan のデータ自体の信憑性については何も言ってません。
Scan も信頼に足る調査方法であるとか何も言ってないけれど、買う時にはちゃんと信頼性を説明してくれるのでしょう。
もちろん NetSecurity と調査した二者の間には関係ありますが、
この記事には商品宣伝以上の、世論誘導する政治的意図は無さそうですよ。
#それとも NetSecurity 編集部はバガボンドと一体のものだという常識でもあるんでしょーか?
というわけで、読めてないようだから、補足しておきましょう。
リポートには、Webサーバーのバージョン、OS、ホスティング業者の数が提供されているのは文中から読み取れます。
ひょっとしたらあるドメインのサーバーソフトウェアはこれだ! というそのものズバリのデータになってるかもしれないけど、そこまでは分からない。
#流石にそんなあからさまなデータではないと思う…。
さて、ここからシェア算出したのは「編集部独自の推定方式」でしょう。このくらいで間違うとは思えませんので、信用していいでしょう。
具体的にどういうことかというと例えば、NetSecurity の記事からは、Windowsサーバー中でも IIS のシェアは半分にも満たないみたいだ、と合理的に推測できますよね。でもこれは僕独自の推定方式なのでこの結果を信じて行動しても責任もてませんよ;-P
サーバーのバージョンのデータを分析してみて、2割は管理権限奪取されるセキュリティホールのある状態にある、という分析もおおざっぱなところでは悪くないでしょう。
一方ワームの伝播速度は正確じゃないとちゃんと注意書き入れてあるように、他にも色々とシミュレーションできそうです。ただ、これは結果の正確性よりも、テーマが面白い(ニュース性がある)。
まぁ疑うのも大事だけど、ちゃんと合理的に疑ってください。
-- wanna be the biggest dreamer
Re:注意書き (スコア:0)
当該ページの連絡先の項目にバガボンドのURLとして、http://www.vagabond.co.jp/と並んでhttps://www.netsecurity.ne.jp/が書かれているので、てっきり一体のものだと思ったのですが違うのでしょうか?
Re:注意書き (スコア:1)
>当該ページの連絡先の項目にバガボンドのURLとして、http://www.vagabond.co.jp/と並んでhttps://www.netsecurity.ne.jp/が書かれているので、てっきり一体のものだと思ったのですが違うのでしょうか?
えーと。
本当にそれだけで一体の組織だと判断したんですか?
まず前提として、違う組織だと考えますよね。
で、あの URL 列記程度で同じ組織だと思えるんですか?
疑うなら分かりますが…疑いレベルならあれだけの批難する前にちゃんと確認しますよね。で、数者の運営になってるらしいと知る。
どこかで「同じ組織だ」という不合理な信念が混じったんじゃないですか?
-- wanna be the biggest dreamer
Re:注意書き (スコア:1)
> ぱっと見ただけではわからないし誤解を与えやすいということですね。
確かにそれはあります。
ので「一体だという常識でもあるの?」という質問に。
公表はされていなくとも事情通の間では常識的、ってことはありますから。
運営がはっきりしてれば聞く必要ないですからね。
というわけで、僕も両者の関係についての疑いは払拭しきれていませんし、例えばバガボンドのセキュリティは万全、とかいう記事が NetSecurity で出たら眉唾で読むでしょう。
が、それでもこの統計を知っといて損は無いかと。
-- wanna be the biggest dreamer
Re:注意書き (スコア:1)
>ぱっと見ただけではわからないし誤解を与えやすいということですね。
タレコミが記事に直リンだからわからないだけで、サイト紹介のページ [netsecurity.ne.jp]はトップページからすぐいけるところにあるんだけど・・
「運営母体がはっきりしない」というのは単なる誤解。
Re:注意書き (スコア:0)
株価レポートや市場動向など、民間の組織(シンクタンクなど)が一般向けに公表する統計結果にはこのような注意書きがごく普通にみられます。
原データ自体の信憑性と調査内容に関する免責は全く別の問題です。