SIMを上手に使いこなす[前編]

業務中にSkypeやIMを使っているのは誰だ?

二木 真明
住商情報システム株式会社
セキュリティソリューション事業部
事業部長補佐(技術担当)
CISSP
2005/11/8

 SkypeやIMユーザーを特定する

 このような「邪悪な」(というと語弊があるかもしれないが、管理者にとっては……)アプリケーションの利用者を特定できれば、そのユーザーに対してだけ、しきい値をアプリケーションに合わせて調整し、誤認を減らすことも可能だ。もちろん、しきい値を高くするということは見落としの可能性も増大させるが、オオカミ少年に翻弄されるよりはマシというものである。

 では、このようなアプリケーションをどうやって特定するか。例えば、IDS(不正侵入検知システム)が対応シグネチャを持っていればベストだろう。IDSでファイアウォールを通過する通信を監視し、その情報をSIMに送り込めばよい。

 筆者は、別の方法を使って挑戦してみることにした。ファイアウォールのログのみを使う方法だ。IMユーザーの特定は比較的簡単である。IMの個別の通信先は複数になるが、通信先のホスト名はIMサービスを提供している特定のドメインに属する。

 ArcSight ESMでは、イベントを取り込む際、そのIPアドレスフィールドに対するDNSの逆引きを行うので、イベント情報内にホストのFQDNが格納されている。この情報が、例えばMSNやyahooといったドメインの、メッセンジャーサービスホストがあるサブドメインに属しているかどうかを判断する。こうしてIMを使っているユーザーのIPアドレスを特定できる。

 Skypeについては単純ではない。絵に描いたようなPtoPアプリケーションであるSkypeの通信先は動的に変化する。一部のIDSには完全ではないもののSkypeの特定の通信を検知するシグネチャが存在する。

 筆者が日本Snortユーザ会のメーリングリストで教えてもらったものも、その1つだ。これはSkype起動時に行われるバージョン確認の通信を検出するものである。すべての通信は特定できないものの、少なくともSkypeをインストールしているPC(正確には、Skypeを起動したPC)を特定できるわけだ。

 へそ曲がりな筆者は、これをSnortではなく、ファイアウォールのログを使って実装してみた。筆者が利用しているファイアウォールではHTTPでアクセスしたURLをログとして得ることができる。Snortのシグネチャは、このリクエストURLに含まれる文字列に対するパターンである。ファイアウォールのログに対して同様のパターンマッチをする機能をSIM上に実装できた。

 結果は上々だった。試しに検出したIPアドレスのオーナーに「Skype使ってる?」と聞くと、全員が「え、何で分かったんですか? まずいですか?」と困惑した表情を浮かべながら答えてくれた。もちろん、正攻法はIDSを使って検知を行うことだが、Proxyサーバを使用しているサイトでは、そのログを流用することも可能だ。

 筆者はIMとSkypeユーザーのIPアドレスを一覧できるパネルをSIM上に作っている。これを見れば、誰がどの程度の頻度で通信しているかが一目瞭然(りょうぜん)。仕事中に友達とチャットしているふらちな連中 (こんな奴がいないことを信じたいが……)にとっては少々都合が悪いこととなった。

パネル1 インスタントメッセンジャー利用者一覧

パネル2 Skype利用者一覧

 ワーム検知の改良

 さて、IMとSkypeユーザーが分かるようになったので、今度はその情報を使ってワーム検知の誤認を減らす仕組みを考えてみた。まず、IM、Skype使用を検知したIPアドレスをSIM上に記憶させる。ArcSight ESMの場合、アクティブリストと呼ばれる一種のブラックリストを作る機能があり、相関ルールの中から参照が可能だ。

 次に、しきい値の比較的低いワーム検知ルールを作り、このリストに含まれるIPアドレスを除外する条件を追加する。アクティブリストに保持されるIPアドレスは数日間検知がなければ消えるように設定して、IMやSkypeを利用しなくなったIPアドレスは検知対象に戻るようにした。当然、どちらが先に検出されるかによって誤認が発生するケースも残っているが、大幅に誤認を減らすことができた。

 問題は、この方法では対象ユーザーがワームに感染した場合、検知できないことだ。これは誤認を減らすこととのトレードオフだが、何らかのセーフガードは必要である。そこで、ぎりぎりSkypeを誤認しない程度にしきい値を上げたルールを作って、それを超えるような“派手な”ワーム感染は見つけられるように考慮した。単純にしきい値を大きくして全体の感度を下げるのではなく、特定の紛らわしいアプリケーション利用者のみ感度を下げるような検知機構が実現できたと思う。

 後編では、スパイウェアなどによる不審な通信や、勝手にネットワーク機器を追加しているユーザーを洗い出す方法を紹介する。

【編集部より】

 本記事は、管理者による過度のモニタリングを推奨するものではありません。従業員を対象としたモニタリングについては、個人情報保護の観点から労働組合などと必要に応じて協議し、取り決め事項を従業員に周知することが望ましいとされています(厚生労働省告示第259号「雇用管理に関する個人情報の適正な取扱いを確保するために事業者が講ずべき措置に関する指針」)。

 以下は、経済産業省による「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」からの抜粋です。
  • モニタリングの目的、すなわち取得する個人情報の利用目的をあらかじめ特定し、社内規程に定めるとともに、従業員に明示すること
  • モニタリングの実施に関する責任者とその権限を定めること
  • モニタリングを実施する場合には、あらかじめモニタリングの実施について定めた社内規程案を策定するものとし、事前に社内に徹底すること
  • モニタリングの実施状況については、適正に行われているか監査又は確認を行うこと

2/2
  

Index
業務中にSkypeやIMを使っているのは誰だ?
  Page1
未知ウイルス/ワームの感染を見つけ出す
ファイアウォールのログから怪しい通信を洗い出す
ネットワークワームを検知する仕掛け
Page2
SkypeやIMユーザーを特定する
ワーム検知の改良

セキュリティ情報マネジメント概論
  SIMで企業のセキュリティを統合管理せよ
  セキュリティ情報マネジメントの仕組みを技術的に理解する(1)
  セキュリティ情報マネジメントの仕組みを技術的に理解する(2)

SIMを上手に使いこなす
  業務中にSkypeやIMを使っているのは誰だ?
  不審な通信や無許可ホストを見逃さない

業務中にSkypeやIMを使っているのは誰だ?


Security&Trust フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Security & Trust 記事ランキング

本日 月間