| エンタープライズ:ニュース | 2003/09/22 19:40:00 更新 |
ラックのハニーポットが残した不正侵入の記録、「既知の手口」が大半
ラックは、同社が独自に開発したハニーポットシステム「Sombria」で記録したインターネット上の攻撃行動を分析し、日本語レポートとして公開した。
ラックは9月17日、同社が独自に開発したハニーポットシステム「Sombria」を用いたインターネット上の攻撃行動に関する分析をまとめ、レポートとして公開した。これに先立つ9月5日には英語版が公開済みだが、それを日本語化したもの。
ハニーポットとは、システムへの侵入・攻撃を仕掛ける攻撃者の手口を把握することを主な目的に設けられる「おとり」のサーバだ。攻撃者に対しては、あたかも本物のサーバのように見せかけながら、彼らがどういった手法を用いて侵入を試みているかを監視し、ログを元に分析することができる。
ラックでは、侵入手法の傾向の把握などを目的にSombriaを設置し、今年5月10日から7月31日にかけてデータを収集。その結果を分析した。
これによると、5〜7月の間にワームによる攻撃や情報収集を目的とした活動が記録されたのはもちろん、全部で131件の不正侵入を受けたという。その多くは、日本国外から仕掛けられたもの(逆に日本国内と思しきものは14%)であり、曜日であれば土曜日、時間帯で見ると日本時間の朝7〜8時が多かった。
ただ、侵入に用いられた手法を見ると、既知の手口が多い。例えば、Apache 1.3.23(およびmod_ssl)とOpenSSL-0.9.6bの組み合わせに存在した、バッファオーバーフローのセキュリティホールや、Samba-2.2.3aのファイルとプリンタの共有機能に存在するセキュリティホールを悪用しようと試みるものが見受けられたという。ラックでは、すべての侵入者が既に知られている脆弱性を利用して侵入したことから、いくつか技量に差はあるにせよ、「すべての侵入者が“スクリプトキディ”のカテゴリに分類できる」としている。
ちなみに同社の分析によると、侵入者はroot権限の奪取に成功すると、バックドアを設置し、SSHによる暗号化通信を行おうと試みるほか、rootkitやDoS(サービス拒否攻撃)ツールの入手やIRCサーバプログラムのダウンロードなどを試みたという。
こうした結果を総合すると、アプリケーションを常に最新のものにし、既知の、公になったセキュリティホールを修正しておくことで、多くの攻撃を防ぐことができると考えられる。また、不正侵入検知システムやパケット記録ツールを通じて、不審なプログラムのダウンロードがないかどうかをチェックすることでも、二次的な被害を抑えることができそうだ。
なお同社のレポートには、特定の攻撃シナリオについてのより詳細な分析も含まれている。
関連記事
「国際ハッキングコンテスト」結果が残した教訓“甘味”を増すハニーポット、誰でも導入可能にHoneynet Project,さらに甘い罠でハッカーをおびき寄せる関連リンク
ラック[ITmedia]
