システム管理者にとって「ssh」は必須のツールの一つが、攻撃側にとっても便利なツールとなりつつある。開発元のSSH Communications Securityは、「ssh本来のメリットを生かすためにも、適切なモニタリングと管理が必要」と説明している。
システム管理者にとって必須ツールの一つが、暗号通信による安全なリモートアクセスを可能にする「ssh(Secure Shell)」だ。手元のPCにssh通信用のソフトウェアをインストールして、日々のシステム運用に活用している担当者は多いだろう。
インターネット普及の黎明期は、ネットワーク上のホストやセキュリティ機器をリモートから操作する手段としてtelnetが用いられることもあった。だがtelnetは、通信が暗号化されておらず、第三者による盗聴の恐れがある。これに対してsshは通信が暗号化され、接続時には公開鍵暗号を用いた認証を用いることで、なりすましによる不正アクセスを防ぐ仕組みも備えており、安全に遠隔制御を行える。
そのsshプロトコルの発明者で、商用版sshの開発を手掛けるSSH Communications
Securityにてアクセスコントロール/モニタリングソリューションを担当しているトーミ・ランピラ氏が、ssh通信の監視・管理の必要性について語った。
前述のとおりsshは、安全なリモートアクセスを実現するために生み出されたプロトコルだ。同氏によれば、セキュリティに対する関心の高まりを受けて暗号通信の比率は高まっており、企業によっては通信全体の8割をsshやHTTPSといった暗号通信が占めるほどだという。
「だが、暗号化されているから安全だとは限らない。最近ではサイバー犯罪者やマルウェアも、自らの痕跡を消し、クリティカルな環境に入り込むため、暗号通信を悪用するようになっている」とランピラ氏は指摘する。つまり、セキュリティを目的に暗号通信を利用する正当なユーザーだけでなく、サイバー攻撃者側もまた、自らの目的を達成するために暗号通信を「活用」する動きが顕著になっているという。
例えば標的型攻撃では、最初の足がかりとなるマルウェアは端末に感染した後、攻撃者の操るC&Cサーバ(いわゆる「外部の不正なサーバ」)と通信し、その指令に基づいてネットワーク内部で侵害範囲を広める。管理者権限を奪取して基幹システムへと展開し、重要な情報を盗み出して外部に送信する。従って外部への通信内容を監視し、不審な通信を検出してブロックできれば、情報漏えいのような最悪の事態に至る前に食い止められる可能性がある。いわゆる「出口対策」と呼ばれる取り組みだ。
だが近年、「攻撃と防御はいたちごっこ」と言われる通りの状況にある。サイバー犯罪者はそうした防御策を見越して、マルウェアとC&Cサーバとの間でsshをはじめとする暗号通信を用い、活動の隠蔽を試みるようになっている。同じようなリスクは、関係者による内部犯行にも潜んでおり、管理者権限を持つ人物が意図的に情報を外部に持ち出す場合にsshが用いられると、それを検出する術がないことが課題だ。
Copyright © ITmedia, Inc. All Rights Reserved.