クライアントが狙われる――受動的攻撃を見抜く：インシデントの見抜きかた（2）（3/3 ページ）

第1回ではクロスサイトスクリプティングやSQLインジェクションなど、Webサーバへの攻撃を見抜く方法を解説しました。しかし狙われているのはサーバだけではありません。今回はクライアントを攻撃対象とする「受動的攻撃」を見抜くためのスキルを解説します（編集部）

[海老根猛，＠IT]

何が起きたのかよりも「起きてしまったのか？」を判断する

　受動的攻撃においては、「攻撃が成功したか？」の判断が重要になる。つまり、アニメーションファイルを利用した攻撃なのか、JavaScriptを利用した攻撃なのか、画像ファイルを利用した攻撃なのかを判別し、対象のクライアントホストは影響を受けてしまう環境であったのかどうかを判断することだ。

　前述の実例にも書いたが、あらためて解説すると以下のようになる。

図2　Aniファイル攻撃の判断から対策まで
（画像をクリックすると拡大します）

　JavaScriptの例は以下のようになる。

図3　JavaScript攻撃の判断から対策まで
（画像をクリックすると拡大します）

　ここまででも分かるとおり、攻撃と判断する最初の段階は全体から受ける印象のようなもので判断することになる。

　必要に応じて、ファイルやデータの送信元になっているIPアドレスや過去に検知された通信との類似性、データの異常性から判断をするが、確実に判断するには比較的高度な知識が必要である。

　IFRAMEを利用した攻撃などに対しては、記述自体が不正なのではなく、フレームの指示先が不正なページであるといった知識を基にインシデントハンドリングを行う必要がある。

　つまり、IDS／IPSが検知するのは不正なデータそれ自体なので、不正なデータへ誘導したWebページは別に存在している、ということだ。コンテンツフィルタなどでアクセスを制限する場合、誘導ページへのアクセスも制限しなくては再発を防止できない。

図4　IFRAME を利用した攻撃例

　なお、インシデントハンドリングの目的は被害を最小限に食い止めることにもあるので、分析に時間をかけ過ぎてはいけない。攻撃と判断したらすぐに次の行動へ移る必要がある。

では、どう対策するか？

　受動的攻撃に対しては、HTTPコンテンツフィルタの設置、Webプロキシを利用してアクセスを制限する、ウイルス対策ソフトウェアをクライアントホストへ導入するなどの方法を取ることが多い。

　受動的攻撃への対策で重要な要素は、対象となったクライアントホストを見つけ出し、いち早く対応することである。

　前述したとおり、攻撃パターンを含むログが残りづらい状況において、HTTPレスポンスに基づいて分析が可能となるIDS／IPSによるインシデントハンドリングは非常に有効である。

　分析の結果、危険度が明確になったら、対象クライアントホストの復旧よりもネットワークからの隔離が推奨される。これは社内の内部ネットワークに被害が伝播してしまう可能性があるからである。収集がつかなくなってしまった状態ほど恐ろしいものはない。

　ただし、実際の状況では、各クライアントの配置を知らなくては対応できないだろう。また、IPアドレスの割り当てからハブの位置、クライアント間に許可されている通信の情報がなければ、影響の範囲を特定することもできない。

　最終的に必要となるのは事象に対応できる情報管理や運用体制であり、また知識を持った管理者の存在なのである。

Index

クライアントが狙われる――受動的攻撃を見抜く

Page1

受動的攻撃――影響を受けるのはクライアント

仕掛けへ誘導する巧みな手法

受動的攻撃は大きな脅威になりつつある

「ファイアウォールがあれば安心」は通用しない

受動的攻撃の分析、判断のポイント

Page2

アニメーションカーソル脆弱性を利用した攻撃パターンの例

JavaScriptを利用した攻撃パターンの例

ヘルプファイルの脆弱性を利用した攻撃パターンの例

Page3

何が起きたのかよりも「起きてしまったのか？」を判断する

では、どう対策するか？

Profile

海老根　猛（えびね　たけし）

三井物産セキュアディレクション株式会社（MBSD）

セキュリティオペレーションセンター(SOC)

MBSD-SOCにおいて、顧客企業への不正アクセスを24時間365日体制で監視する専門家集団の1人。現在同社にて最新のセキュリティ技術動向の調査研究を行っている。

[an error occurred while processing this directive]