不正中継には、「不正中継しようとしている通信」と「中継にされた後に発生する通信」がある。分析においては影響範囲の特定が重要視されるため、上記の点を考慮する必要がある。
HTTPプロキシを狙う通信の場合は以下のようになる。
上記の場合、攻撃者は不適切な設定のプロキシソフトウェアを探している。ソフトウェアの設定でログを残すようにしていれば、該当の通信が成功したかどうかを判断できる。
プロキシソフトウェアを利用していない場合は、該当のポート番号(8080)で何が稼働しているかの調査から始めるべきだ。
影響範囲の特定は該当の通信が攻撃であるかどうかを判断する。今回の場合は攻撃ではないので、サーバ側に適切な設定をすればよい。しかし、第1回で紹介したような攻撃の通信であった場合、中継先の状態まで確認する必要がある。
もう1つの例もほぼ同じ判断をする。
まず80/tcpで何が稼働しているのかを調査したうえで、稼働しているのがApacheであれば、mod_proxyの記述を調べる。httpd.confに、
ProxyRequests On AllowCONNECT 443 80 25
のような記述がある場合は非常に危険である。この場合、443(HTTPS)、80(HTTP)、25(SMTP)のポートがCONNECTによって中継可能であることを意味している。
なお、mod_proxyを利用していなくても念のため設定を確認しておいた方がよいだろう。書き換えられている可能性もあるからだ。
いずれの例でも同様だが、攻撃と判断する部分は送信元のIPアドレスと通信の内容からになる。どちらかが攻撃の可能性を示している場合、すぐに調査する必要がある。
次はCONNECTメソッドを利用した通信の場合である。
この場合も前述と同様に、送信元IPアドレスが外部の第三者からのものであれば、その時点で攻撃の可能性が高いと判断できる。また、その後に続く「中継先のホスト」と「中継先ポート」を見れば、その判断はより確実となる。
この例では、以下のようになっている。
中継先ホスト:mail.example.net 中継先ポート:25
「中継先ホスト」が組織外の第三者のものであれば、ほぼ攻撃と断定してもよいだろう。また、「中継先ポート」が25(SMTP)となっているのも変である。一般的なプロキシの設定で443(HTTPS)は中継することはあっても、25(SMTP)をわざわざHTTP経由で中継することはまずないし、意図的に有効にしない限り25(SMTP)を中継させる設定にはなっていないからである。
CONNECTを利用した攻撃を判断する場合には、上記のようなIPアドレスとポート番号と付随するサービスの知識が必要になる。例えば、highポートを利用しようとしている場合は、PtoPソフトウェアの存在を疑うべき、というような連想ができるとよい。
なお、実際にCONNECTが成功したかどうかは、HTTPレスポンスに含まれるHTTPステータスコードを見る必要がある。CONNECTに成功した場合には以下のメッセージが応答される。
HTTP/1.0 200 Connection Established
逆に失敗すると、
HTTP/1.1 405 Method Not Allowed
のようなメッセージが応答される。
また、Apacheのmod_proxyの場合、HTTPプロキシサーバのログには以下のように残る。
【成功した場合】 192.168.0.1 - - [22/Oct/2007:03:14:12 +0900] "CONNECT mail.example.net:25 HTTP/1.1" 200 - 【失敗した場合】 1902.168.0.1 - - [22/Oct/2007:04:10:57 +0900] "CONNECT mail.example.net:25 HTTP/1.1" 405 235
応答メッセージやHTTPプロキシサーバのログから見つけることができない場合は、ファイアウォールなどネットワーク機器のアクセスログから成否を判断することになる。
今回紹介したような通信は設定ミスを狙ったものであり、現在稼働しているサービスが正しい設定で動作しているか、また、ファイアウォールなどでアクセスを制御しているか確認することで予防できる。
不正中継は改ざんやデータの破壊を行うものではないため、気付きにくい攻撃ではあるが、発見が難しいわけではない。疑わしいログを見つけたら、調査するとよいだろう。
次回も実例を紹介しながら解説したい。
海老根 猛(えびね たけし)
セキュリティオペレーションセンター(SOC)
MBSD-SOCにおいて、顧客企業への不正アクセスを24時間365日体制で監視する専門家集団の1人。現在同社にて最新のセキュリティ技術動向の調査研究を行っている。
Copyright © ITmedia, Inc. All Rights Reserved.