第17回 不正アクセスに対抗するには?:知ってるつもり? 「セキュリティの常識」を再確認(2/3 ページ)
|
アラート名:IIS Unicode Encoding Attack 重要度:High パケットデータ:/cgi-bin/search.cgi?%83C%83x%83%93%83g%88%C4%93%E0 |
一見、攻撃が行われたのではないかと思えるが、パケットデータの部分を分析してみると「/cgi-bin/search.cgi?イベント案内」となる。結果をみれば、誰でも「ああ、“イベント案内”というキーワードを検索したのだな」とすぐにわかるだろう。つまりは「正常な通信」なのである。
もう1つ例を示そう。
|
アラート名:DNS zone transfer UDP 重要度:Medium Source IP:192.198.33.6 Destination IP:192.168.120.2 パケットデータ:...4...........testzone.jp..... |
このアラートは「始点(Source IP)から DNS のゾーン転送要求があった」ということを示している。パケットデータからは、本当に要求があったことが想像できる。そのため、通常であれば終点(Destination IP)ホスト上のログを調査して、実際にゾーンが転送されたかを確認するだろう。
しかし、始点となっているIPが実はセカンダリのDNSだったらどうだろうか。セカンダリのDNSがプライマリDNSにゾーン転送要求するのは、おかしいことではない。つまり、前例と同じように「正常な通信」となるのである。「誤検知」とはいかないまでも、検知する必要のない通信であることがすぐ分かる。
これらの例を見ていると、「IDS/IPSは誤検知ばかり」と受け取られるかもしれないので、実際の攻撃例も紹介しよう。
|
アラート名:http_inspect: OVERSIZE REQUEST-URI DIRECTORY パケットデータ:v0O3wkJHXhi1okAetmiwxLi1ocAeuLBIsB6IlEJBxhwggA6/5DQ0N DQ0NDQ0NDQ0NDQ0NDQ0N...(繰り返し) |
これは今年の6月初旬に多く発生した「MS04-007: ASN .1の脆弱性」を狙った通信だ。新種のウイルスによるものではないかと予想されている。修正プログラムを適用していれば影響はない。
ここで重要なのは「IDS/IPS のような不正アクセスの検知に優れたシステムを導入しても、専門的な知識や、情報が無くては判断できない」ということだ。IDS/IPS によっては、完全なパケットデータをアラートに含めないものもあるため、サーバなどのログを参照する必要がある。
ログは詳細な情報を参照できるが、どの通信が攻撃であるかを判別するのはかなり難しい。ログを精査するツールを使用しても、不正アクセスに関する知識がなければ、検知することも、調整することもできないだろう。
さらに、「不正アクセスは24時間365日発生する」ということも忘れてはいけない。上記例のようなアラートを分析したり、社内資産の情報などから影響の有無を判別できる人間が常時準備している必要がある。当然、1人や2人で対応できるものではない。
また、「アラートは大量に発生する」ので注意が必要だ。通常は、設定を変更し発生件数を調整するのだが、専門知識や情報がないと適切な調整は行えない。だからといって、個々に処理していては間に合わないし、そのほかの仕事も処理しなくてはいけないだろう。結果的に、3時間前のアラートを処理し続けても追いつかない状況になりかねない。もちろん、24時間365日対応できる専門のチームを用意し、不正アクセスの分析、調査を行うことができればよいが、現実的に考えて、社内の人間やサーバの管理者で行うのは難しいだろう。
現在では、24時間365日の不正アクセス監視サービスを提供している会社が多くあるので、自社での監視が困難であれば、業務を任せるのも手だ。会社によってサービス内容が異なるが、「何を提供してくれるのか」は重要なポイントなので、相談時などに聞いておくとよいだろう。
そのほかにも、リアルタイムに監視してくれるのか、各アラートに対する分析をどこまでできるのか、IDS/IPS の設定に対するアドバイスを提供してくれるのかなどを聞いておくと、自社側の体制を作りやすい。
なお、補助するものとしてIPSを利用すると、もっと体制を作りやすくなる。IPS は攻撃を検知し、防ぐ機能を備えた IDS である。スキャン行為を遮断することで、攻撃者に情報を与えないようにもできる。前述の「誤検知」を極力減らすための細かい調整や、ネットワークの構成変更等が必要だが、不正アクセス監視において有効な手段となるだろう。
一方で、内部犯行、一時的な設定のミス、IDS/IPSも検知できないような新たな攻撃手法により、インシデントが発生してしまうこともある。そのため、「不正アクセスへの対応(インシデントレスポンス)」を事前に検討し、内容を決定しておくのはとても重要である。
不正アクセスへの対応(インシデントレスポンス)
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 江崎グリコ、基幹システムの切り替え失敗によって出荷や業務が一時停止
- Microsoft DefenderとKaspersky EDRに“完全解決困難”な脆弱性 マルウェア検出機能を悪用
- 生成AIは2025年には“オワコン”か? 投資の先細りを後押しする「ある問題」
- 投資家たちがセキュリティ人材を“喉から手が出るほどほしい”ワケ
- Javaは他のプログラミング言語と比較してどのくらい危険なのか? Datadog調査
- ゼロトラストの最新トレンド5つをガートナーが発表
- 大田区役所、2023年に発生したシステム障害の全貌を報告 NECとの和解の経緯
- トレンドマイクロが推奨する、長期休暇前にすべきセキュリティ対策
- 「Copilot for Securityを使ってみた」 セキュリティ担当者が感じた4つのメリットと課題
- WordPressプラグイン「Forminator」にCVSS 9.8の脆弱性 急ぎ対処を
ITmediaはアイティメディア株式会社の登録商標です。