エンタープライズ:ニュース | 2003/07/07 19:30:00 更新 |
攻撃元を欺き、パケットを記録――高度化する不正侵入防御システム
NetWorld+Interop 2003 Tokyoの展示会では、攻撃元に偽の情報を与えて欺いたり、ネットワーク内に分散配置した機器を活用して攻撃元を検出するといった、一歩先行くセキュリティシステムが紹介された。
単に外部からの不正アクセスを検出するだけでなく、効果的に攻撃をブロックしたいという意図から、IDS(不正侵入検知システム)を強化するだけでなく、新たにIDP(不正侵入検出・防御システム)というカテゴリが登場してきた。この背景にはマーケティング的な意図もあるだろうが、システムを守るという最終的な目的を考えれば、侵入を事前に防ごうというIDPのような機能が求められるのは自然なことだ。
これと並行して、攻撃元に偽の情報を与えたり、偽のサイトに誘導しておいてその挙動を見る、いわゆるハニーポット式の対策ツールも徐々に登場しつつある。ポートスキャンなどを仕掛けてきた攻撃者に偽の情報を与え、それを用いて攻撃を仕掛けてきた場合には、該当トラフィックをブロックするという米ForeScout Technologiesの「ActiveScout」は前者の例だし、シマンテックの「Decoy Server(旧ManTrap)」は後者に当たる。
NetWorld+Interop 2003 Tokyoの展示会でNECが参考出展として紹介していた「次世代防御システム」も、こうしたシステムの1つに挙げられるだろう。
このシステムは、同社のファイアウォールアプライアンス「Express5800/SG300a」と連動して動作する。外部からWebサイトへのアクセスはすべて、ファイアウォールにアドオンされたトラップエンジンを経由するのだが、この際にトラフィックを「未知のもの」と「既知のもの」に分ける仕組みだ。
そして未知のトラフィックについては、ちょうどハニーポットのようにして振る舞いを監視したうえで、発信元が信用できるものかどうかを判断。信用できるトラフィックならば2回目以降のアクセスが許可されるが、Webサイトの改竄を試みるような不審な行動があれば、攻撃元にはあたかも「攻撃が成功した」ように見せかけながら、発信元アドレスを記録し、以降は同一ソースからのトラフィックを遮断するという。
この仕組みを活用することで、一般のアクセスに対しては正常なWebサイトを表示させつつ、不正なアクセスをブロックできる。NECではこの仕組みを2003年度中に製品化したいとしている。
トラフィック流量に基づきDoS攻撃元を検出
DoS(サービス妨害)攻撃や、さらに防御が難しいとされるDDoS(分散型DoS)への対策も登場した。NTT東日本が参考出展していた「Moving Firewall」だ。ネットワークのバックボーン容量が拡大すればするほど、DoS/DDoS攻撃によるリスクは高まるが、Moving Firewallはシステム入り口のファイアウォールや負荷分散装置ではなく、ネットワーク全体で対処を行うことで、これらの脅威に対処するという。
Moving Firewallは今年2月に発表された技術だ。ファイアウォールと連動して攻撃の監視・ブロックを行う「Moving Firewall装置」とそれらの管理サーバから構成され、正規のアクセスとの区別が難しいDDoSなどからシステムを守る。
この技術を活用するには、あらかじめ、ISPやキャリアなどのネットワークに数多くのMoving Firewall装置を埋め込んでおく必要がある。Moving Firewall装置では、トラフィックを「正規」「不明」「DoS用パケット」の3種類に分類しておき、どこか1カ所で回線の飽和、輻輳発生を検出すると、自動的に不明、およびDoS用パケットについてシェーピング(帯域制御)を実行する。その後、攻撃元へとさかのぼりながら攻撃遮断プログラムを実行し、DDoSによるトラフィックをシャットダウンする仕組みだ。
もちろん、こうした攻撃ではソースアドレスを詐称したパケットが用いられることが多い。そのため、「スプーフィングは前提に入れており、純粋にトラフィックの多寡のみで発信元を判断する仕組みとした」(同社)。開発に携わったNTT情報流通プラットフォーム研究所では、IETFなどの場での標準化も検討しているという。
攻撃の内容と同時に発信元も把握
ネットワークに広く検出システムをばらまき、それらの連携によって不正アクセスの出所を検出、ブロックするというアプローチは、横河電機の「PAFFI」も採用している。
PAFFIは、ハッシュを活用してさまざまなパケットの特徴のみを抽出した「Footmark」を記録し、これを元にトラフィックの監視、制御を行う仕組みだ。Footmarkを記録するアプライアンス「PAFFI Footmaker」と、これらの管理を行い、パケットを追跡する管理システム「PAFFI Manager」という2つのコンポーネントから構成されている。
現在はアプライアンス型のみのPAFFI Footmakerだが、横河電機ではこれをソフトウェア化する計画を進めている。既にLinux版およびWindows版のプロトタイプが完成しつつあり、このうちWindows版については、フリーウェアの形で提供することも検討しているとのこと。こうして幅広くPAFFI Footmakerをばら撒くことで、攻撃検出や発信元追跡の精度を向上させていく考えだ。
またRealSecureやSnortといったIDSとの連携も進めており、「例えば、あるアラートをトリガーとして自動的に攻撃元をトレースするように設定し、管理者が画面を開いたときには、攻撃内容とともに発信元も同時に把握できるようにする」(同社)仕組みを目指すという。
関連記事不正アクセスの出所を探る逆探知システム「PAFFI」がShowNetで実証実験
NTT、攻撃元に“攻め上がる”DDoS対策システムを開発
NetWorld+Interop 2003 Tokyoレポート
関連リンク
NEC
NTT東日本
横河電機
NetWorld+Interop 2003 Tokyo
[高橋睦美,ITmedia]