読者です 読者をやめる 読者になる 読者になる

旅モバ

旅、モバイル、サーバ関連(Linux,FreeBSD)、クラウド・Webサービス、その他PCの話題など。

Googleグループだけではないリテラシーの問題

最近、Googleグループの問題が騒がれています。

Googleグループを省庁や企業が業務に利用することが問題だと言われ、なんとなく「クラウドを使うのが悪い」「クラウドは危ない」という流れになりそうな気もしますが、使う側のリテラシーの問題だと思います。運用さえしっかりとしていれば、漏えい問題に発展することは非常に少ないものです。(システムがクラックされたとか、アメリカがスパイしているかもしれないということは別として)

リテラシーの問題は、Googleグループに限ったことではないと思います。その1つとして、サイボウズのログイン画面がインターネット上に公開されているという問題があります。しかも、その数はかなり多かったりします。

Googleで以下のキーワードで検索すると、多くのサイボウズのログイン画面のURLが検索結果として表示されます。

  • ag.cgi ログイン サイボウズ filetype:cgi
  • ag.exe ログイン サイボウズ filetype:exe

f:id:tabimoba:20130711122432j:plain


共通の問題点は、

  1. インターネット上からログイン画面に直接アクセスできる
  2. ログイン画面にアクセス制限が掛けられていない
  3. HTTPS接続でない環境でサイボウズが運用されている
  4. 一般的なHTTPポート(80番)で運用されている
  5. サーチエンジンにクロールされる状態になっている
  6. ログインIDではなくユーザー名を選択できる(一部)

です。

大学など学生が利用するため公開前提の機関は別として、本来このようなシステムは、LAN内にサーバを構築してLAN内からのみアクセスできるようにするか、VPNを構築してイントラネット内で運用されるべきものであり、インターネット上からアクセスさせるものではありません。というか、セキュリティに配慮する管理者であればこういうシステムは構築しないでしょう。VPNを構築することが難しい環境の場合は、サイボウズのログイン画面を表示する前にHTTP認証(Basic認証やDigest認証)あるいはIPアドレスによるアクセス制限を設け、HTTPS接続とすべきです。SSL証明書の費用が問題の場合はオレオレ証明書であってもやるべきだと思います(あまりよくありませんが)。また、ポート番号は変更した方がモアベターです。

VPNの構築自体はそれほど難しい、高価なものでなく、NTT東西の提供する「フレッツVPN」とBuffaloのVPN(PPTP)対応ルーターを拠点の数だけ用意して設定すればそれだけで構築できます。フレッツVPNは月額2,000円程度、BuffaloのVPN対応ルーターは5,000円程度で購入でき、一般的なISPの月額料金よりちょっと高め、ルーターは一般的な無線LANルーターと同程度のコストを掛けるだけで構築できます。なお、PPTPはセキュリティの面でインターネット上で運用するにはおすすめできませんが、フレッツVPNは閉域網であるため、とりあえず問題ないと思います。

IPアドレスによるアクセス制限は、固定IPを提供しているプロバイダを利用すれば対応することができます。固定IP対応プロバイダの費用は、月額1,000円~2,000円程度で、一般的なISPの月額費用と同じかちょっと高い程度です。

これらのサイボウズを管理している方は、ログインが突破されなければ大丈夫と思って運用しているのかもしれませんが、パスワード総当たり攻撃でログインされてしまうというのはサイボウズに限らず、ログイン画面を持つシステムであれば珍しいことではありません。例えば、最近であれば、Wordpressの管理者画面がパスワード総当たり攻撃で相次いで乗っ取られる問題がありました。

この問題は、サイボウズも例外ではありません。例えば、ユーザーのリテラシーによっては非常に簡単なパスワードが設定されている場合もあり(例えば、ディスプレイに付箋でパスワードを貼っている方や、パスワードが覚えられないからといって単語のようなパスワードや簡単すぎるパスワードを設定しているなど)、このようなユーザーが標的とされる可能性は非常に高く、リスク要因であると言えます。

これだけでリスクが回避できるのであれば、対策しない理由はないのではないでしょうか。もし、サイボウズのログイン画面が公開状態となっている方は、是非ご検討いただければと思います。