脅威に打ち勝つために情報武装せよ
DEFCONの向こうにある安全な世界を目指して
滝口 博昭
株式会社ラック
JSOC事業部 MSS部 アナリスト
CISSP
2008/9/29
Internet Wars、その傾向と対策
講演「Internet Wars」はパネルディスカッション形式で行われた。内容としてはインターネットを利用した攻撃についての討論である。さまざまな話題が議論されていたが、私が着目したのは以下の2点である。
- SQLインジェクション攻撃
- 受動的攻撃
●SQLインジェクションは「ボット発」の攻撃へ
まず「SQLインジェクション攻撃」だが、海外でもこの攻撃に対しては警戒を示しているようだ。また大半がボットからの攻撃であり、発信源の多くは中国からであるとも話していた。ここで、JSOCが監視するお客さまのセキュリティデバイス(ファイアウォール、IDS、IPS)で検知したSQLインジェクション攻撃の送信元国・地域別統計を見てみたい。(図1)。
 |
| 図1 JSOC監視ユーザーへSQLインジェクション攻撃を行った攻撃元国・地域別統計
(2008年5〜8月)
上位10カ国のみを色分けした |
まず、茶色になっている個所が中国だ。6月を除いてすべての月で1位にランクしている。このことから日本でも中国からのSQLインジェクションが特に多いことが分かる。
次に、6月に注目してほしい。中国(茶色)は、4位にランクしている。そしてブラジル(緑色)が1位に浮上している。7月になると、中国(茶色)が再浮上し1位に上がり、8月になるとブラジル(緑色)は10位まで下がる。そして代わりにアメリカ(青色)が浮上する。何万もある「同じ国ではあるがユニークな攻撃元ホスト」が月ごとに一斉に攻撃パターンを変えるのは、ツールなどを利用した手動攻撃では考えにくい。よってボットネットが月によって移り変わっていると推測される。
以上より、世界で起きている「インターネットの脅威」のうちSQLインジェクション攻撃に関しては日本だけが中国からピンポイントで狙われているわけではなく、世界的に見ても中国からの攻撃が多く、その大半がボットを経由した攻撃であると結論づけられるだろう。
●受動的攻撃へのシフトは「費用対効果」で必然の動きだったのか
次に「受動的攻撃」に関してQ&Aで質問したところ、インターネットから行われる攻撃の大半は、クライアントアプリケーションの脆弱性を狙った攻撃(受動的攻撃)を考慮した攻撃にシフトしていると答えてくれた。確かに最近の攻撃はいずれも受動的攻撃を目的とした作りになっていることが多い。
例えば、Webサイトの改ざんを狙ったSQLインジェクション攻撃では、悪意のあるURLを攻撃対象となるWebサイトへ混入する。これによりこのWebサイトを閲覧したユーザーは悪意のあるWebサイトへ誘導され、受動的攻撃の被害に遭う。また最近話題になったARPキャッシュポイズニング攻撃やDNSキャッシュポイズニング攻撃でも、クライアントが閲覧したページに悪意のあるURLが混入されており、受動的攻撃の被害に遭ったという実例がある。では、なぜ受動的攻撃にシフトしているのだろうか?
以前は「お金(価値ある情報)が欲しいのなら、銀行強盗(サーバに対して攻撃)」と考えただろう。しかし、時代が進むにつれてさまざまなセキュリティ対策が施された。セキュアになった所に力を注ぐのは効率が悪い。ならば、お金を預けている所有者(クライアントPC)に対して何か行えないかと考え出されたのが「オレオレ詐欺やフィッシング(受動的攻撃)」になる。ユーザーのアクセス数が多いWebサイトを攻撃し、悪意のあるURLを混入できれば、あとは待っているだけで多くの脆弱性を抱えたユーザーから価値ある情報を取得できる可能性がある。結局、費用対効果や犯罪の検知を考えた場合、データ所有者を狙うのが一番だと考えたから受動的攻撃にシフトしているのだと思う。
受動的攻撃は最近開発された攻撃手法ではなく、実は昔からある。ただメールに添付されたファイルを開くことでマルウェアに感染してしまう「見える受動的攻撃」に加え、正規のWebサイトを参照しただけでマルウェアに感染してしまう「見えない受動的攻撃」も追加されている点が昔と違う。一般ユーザーは利便性を求めるのでブラウザでスクリプトを無効にするなどの対策は難しいだろう。そのうえで、今後はネットワーク上での対策が有効なのか? 感染されるクライアントマシン上での対策が有効なのか? 最終的に実行されるだろうマルウェアの挙動に焦点を当てた対策を取るべきなのか? さまざまな視点から多段防御の考えを持つ必要があると思う。
エンジニアよ、海外の仲間とも情報共有せよ!
ある講演のQ&Aで討論が過熱したときに、講演者の1人がこう言っていた――「皆、よい情報をたくさん持っているのだからもっと共有していこうよ」と。国内では情報共有を行っていると思うが、海外との情報共有に関してはまだまだこれからなのだろうと思った。
どんなことであっても、共有は大事だと筆者は考えている。国は違ったとしても、同じインターネットを利用している仲間だ。情報流出の責任を怖がって情報を発信しないのではなく、共有することで情報をブラッシュアップすべきだと私は思う。
 |
3/3 |
| Index | |
| DEFCONの向こうにある安全な世界を目指して | |
| Page1 DEFCON、そして海外セミナー参加の心構え 注目の集まる“DNSキャッシュポイズニング”講演 |
|
| Page2 現実の脅威を引き起こす「ゲームの世界」 プライバシー観、EUと日本の違い |
|
 |
Page3 Internet Wars、その傾向と対策 エンジニアよ、海外の仲間とも情報共有せよ! |
| 関連記事 | |
| 突撃! ハッカーの祭典「DEFCON16」in ラスベガス | |
| チーム「dumbtech」、Sexy Hacking Girlsへの挑戦 | |
| DEFCONの向こうにある安全な世界を目指して | |
| Profile |
| 滝口 博昭(たきぐち ひろあき) 株式会社ラック JSOC事業部 MSS部 アナリスト CISSP ラック入社後、カスタマーサポートチームに所属しJSOC監視デバイスの運用サポート、およびお客様問い合わせ窓口として経験を積む。また休日にはセキュリティに関する知識を積むために、自宅にハニーポットなどを設置、運用する。 その後、セキュリティアナリストとして、JSOC監視サービスに従事し、JSOCオリジナルシグネチャ(JSIG)の作成、および日々のセキュリティインシデントを分析する。 現在はセキュリティインシデントの分析に加え、監視システムの管理、各種シグネチャのチューニング、監視報告会などに従事する。 |
 |
Security&Trust記事一覧 |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
