不正アクセスやフィッシング詐欺はIPSで防ぐべし、TippingPointが提案

「ネットワークの脅威はIPS（不正侵入防御システム）で防ぐべき」と、米3comセキュリティ部門のTippingPoint。

[ITmedia]

　米3comセキュリティ部門のTippingPointは3月11日、ネットワークを介したセキュリティ攻撃の現状を説明する記者セミナーを開催した。不正アクセスやフィッシング詐欺などの脅威をIPS（不正侵入防御システム）を利用すべきと提唱した。

　TippingPointは2001年に設立され、IPS製品を専業としている。DMZの内側などに設置するようなインライン型のIPS製品分野では世界シェア33％を占めるという。

ダマンカール氏

　SANSのプロジェクト管理も担当するセキュリティチームのロフト・ダマンカールシニアマネジャーは、「2003年に流行したSlammerやBlasterの攻撃は今も存在する」と述べた。

　同氏によれば、現在でもSlammerやBlasterはTippingPointのIPS装置で1カ月に約20万件も検出されることがあるという。「今なおも数多くの報告があり、中国や日本が発生源となるケースも見受けられる。決して過去の脅威になっているわけではない」（同氏）

　また、近年はWebサイトの脆弱性を利用してマルウェアサイトへ誘導する手口が一般化しつつある。同社の調べでは、脆弱性全体に占めるWebサイトなどの割合は66％に達し、クロスサイトスクリプティングやSQLインジェクション、PHPファイルを悪用するケースが多い。「平均すると2分間に3回のペースで攻撃を仕掛けるようになっている。また、Webサイトの不正な改ざんも巧妙化しつつある」とダマンカールは説明した。

Webサイトの脆弱性を利用して、マルウェアサイトに誘導するリンクの「IFRAME」タグを不正に埋め込む手口が横行しているが、最近ではIFARMEタグと分からないようエンコードする手法も目立ち始めた

　Web犯罪は金銭を目的としたものが大半を占めるようになったが、「市民が稼業としてしまうケースや政治目的、テロを目的とするケースも出てきた」とダマンカール氏。エストニアでは、旧政治体制を象徴する像の撤去に反対する市民団体が政府機関のWebサイトを攻撃してDDoS（大規模なサービス障害）を引き起こしたケースや、東南アジアのある国では警察官が生活に困窮してハッキングを副業にし、逮捕された事例があるという。

　「現在のネットワーク型の脅威はアプリケーションレイヤに集中し、攻撃形態の複雑化や犯罪目的の多様化が進んでいる」とダマンカール氏は述べた。

　こうした脅威の対策方法として、不正なトラフィックの排除、ネットワーク制御権の維持、機密情報の持ち出し禁止という3つのアプローチが有効だダマンカール氏は話し、IPSの導入を推奨した。

　「従来はIDS（不正侵入検知システム）が主役だったが、IDSはあくまで通知する機能にとどまり、対策は人の手でしなくてはいけない。だが、急増に一途を続ける脅威に対処するにはもはや限界があり、IPSへ移行すべき時期に来ている」（同氏）

IDSは検知機能にとどまり、ネットワークのパフォーマンスにも影響を与えるとして、不正アクセスのシャットアウトとパフォーマンスに影響の少ないIPSを利用すべきと同社では推奨する

　TippingPointでは、ブラックリストとホワイトリストを併用した独自のフィルタ技術を利用して高い精度で不正アクセスを防止でき、HTTP通信に対してはポリシーベースの柔軟な対策が取れるとしている。現在、国内では200Mbps〜1Gbpsのスループットに対応した5種類の製品をリリースしているが、近く10Gbpsに対応した製品も導入するという。

　ダマンカール氏は、「IPSをDMZだけでなく、ネットワークのコアやデータセンターなどゲートウェイにも配備することで、企業ネットワークに対する不正アクセスを高い確率で抑止できる」と話す。

　さらに、ネットワークアクセス管理などの対策と組み合わせることで抑止効果を高めることができるといい、「ネットワークに接続するデバイスやユーザー管理を含めた包括的な対策が望ましい」とダマンカール氏は締めくくった。