IPS(不正侵入防御システム)を知る[後編]

IPSを実装する場所と考慮すべき点

小倉 秀敏(おぐら ひでとし)
インターネット セキュリティ システムズ株式会社
エグゼクティブ・セキュリティ・エンジニア
営業企画部 テクニカルソリューション課マネージャ
2005/5/20

 脆弱性シグネチャという考え方

 Virtual Patchを実現するためには、保護対象の持つ脆弱点と、IPSが持つ保護シグネチャが対応していることが重要だ。そうでなければ「脆弱点を仮想的に保護している」と説明することはできない。このような考え方の保護シグネチャを「脆弱性シグネチャ」と呼ぶ。これに対するシグネチャは「攻撃シグネチャ」だ。

 脆弱性シグネチャとは、バッファオーバーフローの境界条件のような、実際に脆弱点が悪用される条件を基に検知・防御するタイプのシグネチャだ。従って多数の亜種が存在するワームも1つのシグネチャで防御可能になる。また脆弱点が判明した時点で対応可能なため、実際にワームなどの脅威が発生する前に防御態勢を整えることが可能だ。

 攻撃シグネチャとは、攻撃プログラムやワームの攻撃パターンを基に検知するタイプのシグネチャである。そのため攻撃パターンが異なる亜種などが発生した場合、それごとのシグネチャが必要になる。また攻撃が出現しないとシグネチャを作成できないため、現状主流のアンチウイルスと同じような、時間との闘いになってしまう。

 では少し具体的に違いを確認してみよう。MS04-011の脆弱点を悪用するワームとしてSasserKorgoを挙げることができる。この2つは同じ脆弱点を悪用するという意味では単なる亜種にすぎないが、技術的には面白い点がある。

 Sasserは日本時間で2004年5月1日、Korgoは5月23日に発見されている。実はこの2つはMS04-011の脆弱点を攻撃する際に異なる通信を利用している。Sasserはターゲットとの通信の際に、SMBの上位プロトコルであるSMB PIPEプロトコル、つまりLSARpc名前付きPIPEを使用している。KorgoはPIPEを使用せず、SMBのWrite AndX リクエストを使用してターゲットと通信を行っている。MS04-011の脆弱点を悪用するには、さらに上位層であるMicrosoft独自通信で利用される情報を操作する必要があるが、その下位層の通信手法には幅があるのだ。

図3 SasserとKorgoの違い
(2005、インターネット セキュリティ システムズ株式会社)

 攻撃シグネチャでは、このように悪用の手法が異なる場合、個別にシグネチャが必要となってしまう。一方、脆弱性シグネチャでは、LSASS.DLLの脆弱点を悪用する手法、もっと具体的にいえばバッファオーバーフローの境界条件で検知・防御することができるため、SasserもKorgoも関係ないのである。いくらワームや攻撃プログラムから脆弱点を悪用するための条件を取り出そうと試みても、それは攻撃解析にすぎず、脆弱点の把握にはならないことに注意する必要がある。

 サーバ保護のために

 IPSは、単純にワームや攻撃プログラムが送り込むパケットをひたすらたたき落とせばいいのではないか、という誤解を受けることがある。前回の記事にも書いたように、それだけでは技術的に正しく防御できないうえ、単なる攻撃対応になり、本当にサーバを保護することにはならない。

 またサーバに存在する脆弱点を把握することは非常に重要だ。しかし脆弱性監査ツールの結果は、脆弱点の有無とパッチを当てろ、ということを説明するための長々とした技術的な読み物になってしまっている。多くの企業では、これだけで手いっぱいになってしまい、脆弱性監査結果を実際の保護活動に生かしきれないでいる。分厚いレポートによって得られた答えが「パッチを当てろ」だけでは、実際には何もできないのは当たり前だろう。

 脆弱性シグネチャに基づくIPSが提供するVirtual Patchと、脆弱性診断結果を組み合わせることで、脆弱性がIPSで保護できるかどうか、確実に判断することができる。筆者はこのような考え方を「脆弱性マッピング」と呼び、IPS導入により期待される保護効果と、導入後の機器導入効果評価に利用するよう、提案している。この考え方は攻撃シグネチャで対応しているIPSでは、全く成り立たない。

 とにかくIPSを設置すればサーバを保護できる、という単純な考え方では、多くの企業が持つ疑問には答えられない。インターネット接続点に設置する場合に比べ、「サーバを保護する」という目的は、より重要であり、厳密性を求められるだろう。「なぜ脆弱点を保護できるといえるのか? その判断基準は?」、「保護できているという効果をアウトプットとして得るには?」などのような疑問に答えられなければならない。

2/4


Index
IPSを実装する場所と考慮すべき点
  Page1
パッチ適用が不可能なサーバの保護
Page2
脆弱性シグネチャという考え方
サーバ保護のために
  Page3
ネットワーク内での脅威の拡散防止
脅威の方向をイメージせよ
  Page4
フェイルセーフという考え方
さらなる考慮点

関連リンク
  IPSの実装方法と防御技術とは

Security&Trust記事一覧


Security&Trust フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Security & Trust 記事ランキング

本日 月間