脆弱なホストを狙った不正中継を見抜く：インシデントの見抜きかた（3）（3/3 ページ）

» 2007年11月07日 10時00分公開

[海老根猛，＠IT]

前のページへ 1|2|3 　　　　　　

どのように判断すべきか

　不正中継には、「不正中継しようとしている通信」と「中継にされた後に発生する通信」がある。分析においては影響範囲の特定が重要視されるため、上記の点を考慮する必要がある。

　HTTPプロキシを狙う通信の場合は以下のようになる。

図4　HTTPプロキシを狙う通信（port:8080）の判断から対策まで

　上記の場合、攻撃者は不適切な設定のプロキシソフトウェアを探している。ソフトウェアの設定でログを残すようにしていれば、該当の通信が成功したかどうかを判断できる。

　プロキシソフトウェアを利用していない場合は、該当のポート番号（8080）で何が稼働しているかの調査から始めるべきだ。

　影響範囲の特定は該当の通信が攻撃であるかどうかを判断する。今回の場合は攻撃ではないので、サーバ側に適切な設定をすればよい。しかし、第1回で紹介したような攻撃の通信であった場合、中継先の状態まで確認する必要がある。

　もう1つの例もほぼ同じ判断をする。

図5　HTTPプロキシを狙う通信（port:80）の判断から対策まで

　まず80/tcpで何が稼働しているのかを調査したうえで、稼働しているのがApacheであれば、mod_proxyの記述を調べる。httpd.confに、

ProxyRequests On
AllowCONNECT 443 80 25

のような記述がある場合は非常に危険である。この場合、443（HTTPS）、80（HTTP）、25（SMTP）のポートがCONNECTによって中継可能であることを意味している。

　なお、mod_proxyを利用していなくても念のため設定を確認しておいた方がよいだろう。書き換えられている可能性もあるからだ。

　いずれの例でも同様だが、攻撃と判断する部分は送信元のIPアドレスと通信の内容からになる。どちらかが攻撃の可能性を示している場合、すぐに調査する必要がある。

　次はCONNECTメソッドを利用した通信の場合である。

図6　CONNECTメソッドの判断から対策まで

　この場合も前述と同様に、送信元IPアドレスが外部の第三者からのものであれば、その時点で攻撃の可能性が高いと判断できる。また、その後に続く「中継先のホスト」と「中継先ポート」を見れば、その判断はより確実となる。

　この例では、以下のようになっている。

中継先ホスト：mail.example.net
中継先ポート：25

　「中継先ホスト」が組織外の第三者のものであれば、ほぼ攻撃と断定してもよいだろう。また、「中継先ポート」が25（SMTP）となっているのも変である。一般的なプロキシの設定で443（HTTPS）は中継することはあっても、25（SMTP）をわざわざHTTP経由で中継することはまずないし、意図的に有効にしない限り25（SMTP）を中継させる設定にはなっていないからである。

　CONNECTを利用した攻撃を判断する場合には、上記のようなIPアドレスとポート番号と付随するサービスの知識が必要になる。例えば、highポートを利用しようとしている場合は、PtoPソフトウェアの存在を疑うべき、というような連想ができるとよい。

　なお、実際にCONNECTが成功したかどうかは、HTTPレスポンスに含まれるHTTPステータスコードを見る必要がある。CONNECTに成功した場合には以下のメッセージが応答される。

HTTP/1.0 200 Connection Established

　逆に失敗すると、

HTTP/1.1 405 Method Not Allowed

のようなメッセージが応答される。

　また、Apacheのmod_proxyの場合、HTTPプロキシサーバのログには以下のように残る。

【成功した場合】
192.168.0.1 - - [22/Oct/2007:03:14:12 +0900] "CONNECT mail.example.net:25 HTTP/1.1" 200 - 
 
【失敗した場合】
1902.168.0.1 - - [22/Oct/2007:04:10:57 +0900] "CONNECT mail.example.net:25 HTTP/1.1" 405 235

　応答メッセージやHTTPプロキシサーバのログから見つけることができない場合は、ファイアウォールなどネットワーク機器のアクセスログから成否を判断することになる。