脆弱なホストを狙った不正中継を見抜く：インシデントの見抜きかた（3）（3/3 ページ）

猛威をふるったBlasterワーム。これが大流行したのは2003年でしたが、いまだにこのワームの痕跡はインターネット上に残っています。その理由の1つは、いまだにセキュリティパッチが適用されていないホストが残っていることにもあります。今回は脆弱なホストや設定ミスによって発生する「穴」への攻撃を見抜く方法を解説します（編集部）

[海老根猛，＠IT]

どのように判断すべきか

　不正中継には、「不正中継しようとしている通信」と「中継にされた後に発生する通信」がある。分析においては影響範囲の特定が重要視されるため、上記の点を考慮する必要がある。

　HTTPプロキシを狙う通信の場合は以下のようになる。

図4　HTTPプロキシを狙う通信（port:8080）の判断から対策まで

　上記の場合、攻撃者は不適切な設定のプロキシソフトウェアを探している。ソフトウェアの設定でログを残すようにしていれば、該当の通信が成功したかどうかを判断できる。

　プロキシソフトウェアを利用していない場合は、該当のポート番号（8080）で何が稼働しているかの調査から始めるべきだ。

　影響範囲の特定は該当の通信が攻撃であるかどうかを判断する。今回の場合は攻撃ではないので、サーバ側に適切な設定をすればよい。しかし、第1回で紹介したような攻撃の通信であった場合、中継先の状態まで確認する必要がある。

　もう1つの例もほぼ同じ判断をする。

図5　HTTPプロキシを狙う通信（port:80）の判断から対策まで

　まず80/tcpで何が稼働しているのかを調査したうえで、稼働しているのがApacheであれば、mod_proxyの記述を調べる。httpd.confに、

ProxyRequests On
AllowCONNECT 443 80 25

のような記述がある場合は非常に危険である。この場合、443（HTTPS）、80（HTTP）、25（SMTP）のポートがCONNECTによって中継可能であることを意味している。

　なお、mod_proxyを利用していなくても念のため設定を確認しておいた方がよいだろう。書き換えられている可能性もあるからだ。

　いずれの例でも同様だが、攻撃と判断する部分は送信元のIPアドレスと通信の内容からになる。どちらかが攻撃の可能性を示している場合、すぐに調査する必要がある。

　次はCONNECTメソッドを利用した通信の場合である。

図6　CONNECTメソッドの判断から対策まで

　この場合も前述と同様に、送信元IPアドレスが外部の第三者からのものであれば、その時点で攻撃の可能性が高いと判断できる。また、その後に続く「中継先のホスト」と「中継先ポート」を見れば、その判断はより確実となる。

　この例では、以下のようになっている。

中継先ホスト：mail.example.net
中継先ポート：25

　「中継先ホスト」が組織外の第三者のものであれば、ほぼ攻撃と断定してもよいだろう。また、「中継先ポート」が25（SMTP）となっているのも変である。一般的なプロキシの設定で443（HTTPS）は中継することはあっても、25（SMTP）をわざわざHTTP経由で中継することはまずないし、意図的に有効にしない限り25（SMTP）を中継させる設定にはなっていないからである。

　CONNECTを利用した攻撃を判断する場合には、上記のようなIPアドレスとポート番号と付随するサービスの知識が必要になる。例えば、highポートを利用しようとしている場合は、PtoPソフトウェアの存在を疑うべき、というような連想ができるとよい。

　なお、実際にCONNECTが成功したかどうかは、HTTPレスポンスに含まれるHTTPステータスコードを見る必要がある。CONNECTに成功した場合には以下のメッセージが応答される。

HTTP/1.0 200 Connection Established

　逆に失敗すると、

HTTP/1.1 405 Method Not Allowed

のようなメッセージが応答される。

　また、Apacheのmod_proxyの場合、HTTPプロキシサーバのログには以下のように残る。

【成功した場合】
192.168.0.1 - - [22/Oct/2007:03:14:12 +0900] "CONNECT mail.example.net:25 HTTP/1.1" 200 - 
 
【失敗した場合】
1902.168.0.1 - - [22/Oct/2007:04:10:57 +0900] "CONNECT mail.example.net:25 HTTP/1.1" 405 235

　応答メッセージやHTTPプロキシサーバのログから見つけることができない場合は、ファイアウォールなどネットワーク機器のアクセスログから成否を判断することになる。

この機会にもう一度サーバを見直してみよう

　今回紹介したような通信は設定ミスを狙ったものであり、現在稼働しているサービスが正しい設定で動作しているか、また、ファイアウォールなどでアクセスを制御しているか確認することで予防できる。

　不正中継は改ざんやデータの破壊を行うものではないため、気付きにくい攻撃ではあるが、発見が難しいわけではない。疑わしいログを見つけたら、調査するとよいだろう。

　次回も実例を紹介しながら解説したい。

Index

脆弱なホストを狙った不正中継を見抜く

Page1

不正中継、踏み台といった脆弱なホストの悪用

被害者が加害者になり得る不正中継の怖さ

HTTPプロキシを利用した不正中継

HTTP CONNECTを利用した不正中継

Page2

SMTPメールサーバの不正中継

不正中継の実例――脆弱なホストを探し、踏み台にする

Page3

どのように判断すべきか

この機会にもう一度サーバを見直してみよう

Profile

海老根　猛（えびね　たけし）

三井物産セキュアディレクション株式会社（MBSD）

セキュリティオペレーションセンター(SOC)

MBSD-SOCにおいて、顧客企業への不正アクセスを24時間365日体制で監視する専門家集団の1人。現在同社にて最新のセキュリティ技術動向の調査研究を行っている。

[an error occurred while processing this directive]