IPS(不正侵入防御システム)を知る[後編]
IPSを実装する場所と考慮すべき点
小倉 秀敏(おぐら ひでとし)インターネット セキュリティ システムズ株式会社
エグゼクティブ・セキュリティ・エンジニア
営業企画部 テクニカルソリューション課マネージャ
2005/5/20
脆弱性シグネチャという考え方 |
Virtual Patchを実現するためには、保護対象の持つ脆弱点と、IPSが持つ保護シグネチャが対応していることが重要だ。そうでなければ「脆弱点を仮想的に保護している」と説明することはできない。このような考え方の保護シグネチャを「脆弱性シグネチャ」と呼ぶ。これに対するシグネチャは「攻撃シグネチャ」だ。
脆弱性シグネチャとは、バッファオーバーフローの境界条件のような、実際に脆弱点が悪用される条件を基に検知・防御するタイプのシグネチャだ。従って多数の亜種が存在するワームも1つのシグネチャで防御可能になる。また脆弱点が判明した時点で対応可能なため、実際にワームなどの脅威が発生する前に防御態勢を整えることが可能だ。
攻撃シグネチャとは、攻撃プログラムやワームの攻撃パターンを基に検知するタイプのシグネチャである。そのため攻撃パターンが異なる亜種などが発生した場合、それごとのシグネチャが必要になる。また攻撃が出現しないとシグネチャを作成できないため、現状主流のアンチウイルスと同じような、時間との闘いになってしまう。
では少し具体的に違いを確認してみよう。MS04-011の脆弱点を悪用するワームとしてSasserとKorgoを挙げることができる。この2つは同じ脆弱点を悪用するという意味では単なる亜種にすぎないが、技術的には面白い点がある。
Sasserは日本時間で2004年5月1日、Korgoは5月23日に発見されている。実はこの2つはMS04-011の脆弱点を攻撃する際に異なる通信を利用している。Sasserはターゲットとの通信の際に、SMBの上位プロトコルであるSMB PIPEプロトコル、つまりLSARpc名前付きPIPEを使用している。KorgoはPIPEを使用せず、SMBのWrite AndX リクエストを使用してターゲットと通信を行っている。MS04-011の脆弱点を悪用するには、さらに上位層であるMicrosoft独自通信で利用される情報を操作する必要があるが、その下位層の通信手法には幅があるのだ。
図3 SasserとKorgoの違い (2005、インターネット セキュリティ システムズ株式会社) |
攻撃シグネチャでは、このように悪用の手法が異なる場合、個別にシグネチャが必要となってしまう。一方、脆弱性シグネチャでは、LSASS.DLLの脆弱点を悪用する手法、もっと具体的にいえばバッファオーバーフローの境界条件で検知・防御することができるため、SasserもKorgoも関係ないのである。いくらワームや攻撃プログラムから脆弱点を悪用するための条件を取り出そうと試みても、それは攻撃解析にすぎず、脆弱点の把握にはならないことに注意する必要がある。
サーバ保護のために |
IPSは、単純にワームや攻撃プログラムが送り込むパケットをひたすらたたき落とせばいいのではないか、という誤解を受けることがある。前回の記事にも書いたように、それだけでは技術的に正しく防御できないうえ、単なる攻撃対応になり、本当にサーバを保護することにはならない。
またサーバに存在する脆弱点を把握することは非常に重要だ。しかし脆弱性監査ツールの結果は、脆弱点の有無とパッチを当てろ、ということを説明するための長々とした技術的な読み物になってしまっている。多くの企業では、これだけで手いっぱいになってしまい、脆弱性監査結果を実際の保護活動に生かしきれないでいる。分厚いレポートによって得られた答えが「パッチを当てろ」だけでは、実際には何もできないのは当たり前だろう。
脆弱性シグネチャに基づくIPSが提供するVirtual Patchと、脆弱性診断結果を組み合わせることで、脆弱性がIPSで保護できるかどうか、確実に判断することができる。筆者はこのような考え方を「脆弱性マッピング」と呼び、IPS導入により期待される保護効果と、導入後の機器導入効果評価に利用するよう、提案している。この考え方は攻撃シグネチャで対応しているIPSでは、全く成り立たない。
とにかくIPSを設置すればサーバを保護できる、という単純な考え方では、多くの企業が持つ疑問には答えられない。インターネット接続点に設置する場合に比べ、「サーバを保護する」という目的は、より重要であり、厳密性を求められるだろう。「なぜ脆弱点を保護できるといえるのか? その判断基準は?」、「保護できているという効果をアウトプットとして得るには?」などのような疑問に答えられなければならない。
2/4 |
Index | |
IPSを実装する場所と考慮すべき点 | |
Page1 パッチ適用が不可能なサーバの保護 |
|
Page2 脆弱性シグネチャという考え方 サーバ保護のために |
|
Page3 ネットワーク内での脅威の拡散防止 脅威の方向をイメージせよ |
|
Page4 フェイルセーフという考え方 さらなる考慮点 |
関連リンク | |
IPSの実装方法と防御技術とは |
Security&Trust記事一覧 |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
|
|