受動的攻撃においては、「攻撃が成功したか?」の判断が重要になる。つまり、アニメーションファイルを利用した攻撃なのか、JavaScriptを利用した攻撃なのか、画像ファイルを利用した攻撃なのかを判別し、対象のクライアントホストは影響を受けてしまう環境であったのかどうかを判断することだ。
前述の実例にも書いたが、あらためて解説すると以下のようになる。
JavaScriptの例は以下のようになる。
ここまででも分かるとおり、攻撃と判断する最初の段階は全体から受ける印象のようなもので判断することになる。
必要に応じて、ファイルやデータの送信元になっているIPアドレスや過去に検知された通信との類似性、データの異常性から判断をするが、確実に判断するには比較的高度な知識が必要である。
IFRAMEを利用した攻撃などに対しては、記述自体が不正なのではなく、フレームの指示先が不正なページであるといった知識を基にインシデントハンドリングを行う必要がある。
つまり、IDS/IPSが検知するのは不正なデータそれ自体なので、不正なデータへ誘導したWebページは別に存在している、ということだ。コンテンツフィルタなどでアクセスを制限する場合、誘導ページへのアクセスも制限しなくては再発を防止できない。
なお、インシデントハンドリングの目的は被害を最小限に食い止めることにもあるので、分析に時間をかけ過ぎてはいけない。攻撃と判断したらすぐに次の行動へ移る必要がある。
受動的攻撃に対しては、HTTPコンテンツフィルタの設置、Webプロキシを利用してアクセスを制限する、ウイルス対策ソフトウェアをクライアントホストへ導入するなどの方法を取ることが多い。
受動的攻撃への対策で重要な要素は、対象となったクライアントホストを見つけ出し、いち早く対応することである。
前述したとおり、攻撃パターンを含むログが残りづらい状況において、HTTPレスポンスに基づいて分析が可能となるIDS/IPSによるインシデントハンドリングは非常に有効である。
分析の結果、危険度が明確になったら、対象クライアントホストの復旧よりもネットワークからの隔離が推奨される。これは社内の内部ネットワークに被害が伝播してしまう可能性があるからである。収集がつかなくなってしまった状態ほど恐ろしいものはない。
ただし、実際の状況では、各クライアントの配置を知らなくては対応できないだろう。また、IPアドレスの割り当てからハブの位置、クライアント間に許可されている通信の情報がなければ、影響の範囲を特定することもできない。
最終的に必要となるのは事象に対応できる情報管理や運用体制であり、また知識を持った管理者の存在なのである。
海老根 猛(えびね たけし)
セキュリティオペレーションセンター(SOC)
MBSD-SOCにおいて、顧客企業への不正アクセスを24時間365日体制で監視する専門家集団の1人。現在同社にて最新のセキュリティ技術動向の調査研究を行っている。
Copyright © ITmedia, Inc. All Rights Reserved.