情報処理推進機構(IPA)は2014年4月25日、少なからぬ割合のWebサーバーで、サポートが終了したバージョンのサーバーソフトウェアやミドルウェアが使われているという調査結果に基づき、Webサーバーの適切な運用を呼び掛ける文書「サーバソフトウェアが最新版に更新されにくい現状および対策」を公開した。
IPAでは情報セキュリティ早期警戒パートナーシップに基づき、クロスサイトスクリプティングをはじめとするWebアプリケーションに存在する脆弱(ぜいじゃく)性の届け出を受け付けている。2008年2月から2013年9月にかけて届け出のあったWebアプリケーション脆弱性のうち、レスポンスヘッダーを記録した4178件についてバージョン情報を確認したところ、古いバージョンのままWebサーバーが運用されているケースがあった。
調査は、届け出時点のレスポンスヘッダーを参照して行った。対象は、Webサーバーソフトウェアの「Apache HTTP Server」「IIS」およびサーバーサイドスクリプト言語である「PHP」の3種類だ。この結果、IISでは6%、Apacheでは15%、PHPに関しては実に80%で、サポートが終了したバージョンが使われていることが判明したという。特にPHPでは、1年以上前にサポートが終了したバージョン5.2以前、中にはバージョン4系列が動作していたケースもあった。
また、最新パッチを適用していたWebサイトは、Apacheについては15%、PHPについては34%と、ともに半数に満たなかった。
あくまでこの集計は、Webアプリケーションの脆弱性が存在するという届け出がなされたWebサイトを対象に、外部から確認できる情報のみを集計した結果だ。母集団に偏りがある他、個別サポート契約などによって独自パッチが適用されている可能性もある。
しかしこの結果を踏まえ、IPAでは「最新のセキュリティパッチの適用が十分にはなされていない実態が明らかになった」と指摘している。
なおIISでは、サポート期間中のバージョンが使われている割合が比較的高かった。この要因としてIPAは、オープンソースとして無償で提供されているApacheに比べ、IISは有償製品であり、Webサイト構築に潤沢な予算が投入される前提で採用されていることが要因の1つではないかとしている。
IPAはサーバー側で古いソフトウェアが使われ続けている原因を、「パッチを適用する必要性を認識していないか、認識していても何らかの要因でパッチの適用が困難な可能性がある」と考察している。
例えば、ミドルウェアやサーバーソフトウェアをバージョンアップした場合、それまで動作していたWebアプリケーションが動かなくなり、何らかの改修が必要になることは少なくない。その上、開発時点での資料整備などが不十分だったり、開発を担当した会社との契約が切れていたりするなどして、ノウハウが失われているケースでは、ほとんど作り直しが必要になるケースもある。しかし現実には、「作り直す余裕があるWebサイトは少なく、危険性を認識したとしても使い続けている可能性がある」(IPA)。
しかし一方で、システムを構成するソフトウェアの脆弱性は日々発見されている。もしWebサイトの脆弱性を突かれた場合、運営者のみならず利用者にも迷惑がおよび、対応には相応のコストがかかる。この事を踏まえた上で、
といった手順を考慮しつつ、長期的な視点に基づく組織的なWebサイト管理を行うよう求めている。
なお今回は、IISとApache、PHPが対象となったが、「他のプログラミング言語やWebアプリケーションサーバー、Webアプリケーションフレームワークなどの中にも、程度の差はあれ、同様の事情から更新が難しいものは少なくない」とIPAは指摘している。
事実、2014年4月24日には、サポート期限の終了したWebアプリケーションフレームワーク「Apache Struts 1」に、任意のJavaコードが実行され、重要な情報の盗み見やバックドアの設置などさまざまな被害を受ける可能性がある脆弱性が指摘された。だがその時点で、Struts 1が稼働しているWebサイトは多数存在している(関連記事)。
「パソコンにおいて日々、ソフトウェアの更新(例:Windows Update)が必要なのと同じように、サーバーで稼働するソフトウェアも更新しなくてはならない」(IPA)。
Copyright© 2014 ITmedia, Inc. All Rights Reserved.