第7回 不正侵入検知の今後の方向性(前編)
日本ネットワークアソシエイツ株式会社
マーケティング本部 プロダクトマーケティング マネージャ
能地 將博
2001/5/31
| 限界が見えてきたIDS |
|
各企業において、ミッションクリティカルなコンピュータを内部的に、あるいはインターネットに相互連結させることが進行している。これに伴ない、侵入者による攻撃の危険性が増し、潜在的な損害の規模も増大している。今日、本質的なセキュリティツールとして企業ネットワークで設置が進んでいる比較的新しい技術の1つに、侵入検知が挙げられるだろう。
現在のますます相互に連係した世界では、侵入検知システム(IDS:Intrusion Detection System)を設置することなく機密漏えいを検出することは、非常に困難な状況になってきている。現在、無断アクセスまたはその未遂アクセスを検出するための各種ツールが市場で入手できるが、これらの製品群はどれも、今日の高速かつ最新な大規模ネットワークのトポロジに対応するには柔軟性が不足しているといわざるを得ない。
本稿では、まず保護を必要とするネットワークアーキテクチャに対して、これらのネットワークベースIDSが持つ先天的な限界について簡単に明らかにし、次に次世代の侵入検知技術について紹介するつもりである。
| 侵入検知システム |
侵入検知システムとは、攻撃が発生している事実を識別するための支援を行い、ほかのセキュリティコンポーネントで検知されない攻撃を検出することができ、攻撃者/侵入者の識別に役立つ犯罪科学的な証拠の収集を支援するシステムである。
現在のネットワークベースIDS製品がとっている手法は、ネットワークのトラフィックの監視により蓄積されたプロトコル分析を介してデータを収集する、受動的なものが主流である。各ネットワークベースIDS(企業ネットワークでは多数のIDS製品を使用し、監視の必要なセグメントごとにIDSを置いている場合もあるかもしれない)は、特定のネットワークセグメントに接続し、そのトラフィックを監視する。IDSは、そのセグメントのトラフィックのコピーを取得して検査を実施する。これは、検査対象の各パケットを「無差別に聴取して」、そのコピーをNIC(Network Interface Card)に取り込ませることによって実現される。
そして、IDSはこれらのパケットを調べて、侵入の試みを示す兆候があるかどうか検査する。このとき、パケットの内容に既知の攻撃方法の「シグネチャ」が含まれるかどうか確認する。つまり、特定のパターンと一致する文字列が含まれるかどうか、あるいは既知の攻撃方法を定義するルールに適合するかどうかを判別する。
侵入検知製品では、ネットワークトラフィックやさまざまなシステムイベント、例えばCPUの利用、システムコール、ユーザー位置、さまざまなファイル活動などを検査すれば侵入者を検出できる、という仮定に基づいている。
こうしたIDSの手法には、以下のような種類が挙げられる。
- シグネチャベースの侵入検知
シグネチャベースの侵入検知は、システムを危険な状態に至らせる既知の攻撃を記録したデータベースと、ユーザーの活動とを比較することによって侵入の試みを特徴づけることが可能である、という仮定に基づいている。商用の侵入検知製品の大半は、監査レコードまたはシステムステータス情報で不正活動が提示され始めた時点でルールを起動する属性に対して、シグネチャベースの侵入検知を実行する。この事前定義された侵入状態変更シナリオと比較して、高いレベルにある状態変更パターンが監査レコードの中から検索される。一般に、シグネチャはプロセスまたはイベントに関連している。
- 統計ベースの侵入検知
統計ベースの侵入検知システムは、予測される標準に反する監査データを注視および分析することによって、悪意のある活動の識別を試みる。統計に基づく侵入検知システムは、侵入者の活動が正当なユーザーのそれと顕著に異なるだろうという前提のもとに、「通常から外れた」活動がないかどうか、システムの監査証跡データを詳しく調べることによって、侵入の検知を試みる。想定されたプロファイルから有意に逸脱するすべてのシステムイベントシーケンスに、潜在的な侵入の試みとしてフラグを付ける。
| ネットワークベースのセンサの限界 |
今日のネットワーク侵入検知システムは、攻撃の兆候がないかどうか、ネットワークのすべてのトラフィックに注目することを試みて、それによってネットワークを保護する設計になっている。
侵入検知に対するこのネットワークベースの手法は、初期段階では有望に見えたが、現在では幾つかの重大な限界に直面している。さらに、ネットワークベースのIDS製品で簡単に検知できない幾つかの新しい攻撃技術も確認された(『Insertion, Evasion and Denial of Service: Eluding Network Intrusion Detection』, Ptacek and Newsham, Secure Networks, Inc. 1998を参照)。次の問題は、ネットワークベース製品の現在の制限と、本質的に欠陥のある検知方法に起因している。
■精密に検査するにはトラフィックが多すぎる
ネットワークがより高速になるとともに、ネットワークベースのIDS製品ではそれに追随することが難しくなっている。各パケットの内容を検査し、それが既知のシグネチャおよびルールのいずれかと一致するかどうか確かめるのは時間がかかり、リソースを消費してしまう。
ネットワークベースIDSは、10MbpsのLANですべてのトラフィックを検査し、1ダース以内のシグネチャの存在についてチェックする能力はあるが、今日のLANの多くははるかに高速であり、毎秒50Mbytesまたは100Mbytes、あるいはそれ以上で稼働している。そのため、高速化するネットワーク速度にパケットシグネチャ分析の技術が追随できなくなり、シグネチャが少し増えただけでデータが喪失したり、監視が不可能になる危険がでてきている。ネットワークベースIDS技術が改善されて高速化したとしても、ネットワーク速度の方も同様に高速化していくことが予想されるため、この問題は本質的な問題と認識すべきである。
また、「スイッチ化イーサネット」技術の浸透によりネットワークが複数セグメント化されているため、複数台のネットワークベースIDS製品を導入することになり、コスト増にもなりかねない。
■障害発生時に開いたままのアーキテクチャ
ある種のネットワークベースIDSのセキュリティシステムでは、過負荷、クラッシュ、あるいはDoS(Denial of Service)攻撃などの原因によって障害が発生した場合、対象のネットワークが保護のない状態になっていても、往々にして中央コンソールに問題の通知が行われないままネットワークがオープンになっているケースがある。ネットワークベースIDS単体でのソリューションでは、障害が発生した場合、このような状況にもなり得る。このため、2次、3次被害を招く危険性をはらんでいる。
■不審なパケットの影響を評価する能力の欠如
ネットワークベースのIDSは、不審なパケット(例えば不良なUPDチェックサムを有するIPパケット)があて先のコンピュータで参照されるかどうか、また参照される場合でも、ネットワークベースIDSの想定どおりに処理されるかどうかを予測することができない。さらに、ネットワーク通信では重複パケットが送信される場合もあるため、送信されるパケットは本質的に信頼できるものではない。これはつまり、IDSがすべてのパケットを検査しなければならないことを意味し、従って大きな負荷がかかることになる。
■不十分な情報
ネットワークベースIDSは、パケットを参照するだけでは、そのパケットがもたらす影響を予測できない。ネットワークベースIDSは通常、監視対象のコンピュータではなく、専用のコンピュータ上に置かれるため、ネットワークベースIDSホストと保護対象のホストとの間の差異(例えばハードウェアやネットワークドライバなど)によって、何を攻撃として見なすかが異なってくることも考えられる。
■ある種の攻撃の検出に失敗する
最近明らかになった最も重要な事実は、ネットワークベースIDS製品の検知を回避する可能性がある単一の攻撃を実行できる、少なくとも26種類の手法が存在するということである。また、IPおよびTCPのプロトコル分析に基づくネットワークベースIDSの基本的な性質を利用する3種類の攻撃方法が発見されている。パケットストリームに付加的な文字を挿入して、パケットの内容と攻撃シグネチャを一致させない「挿入攻撃」や、パケット内のシーケンス番号を使用してデータストリームを再構築するというTCP/IPの仕様を利用して攻撃者のパケットを不規則な順序で送信する方法である。
テストの結果、市場に存在するすべてのネットワークベースIDS製品が、各種の攻撃に対して脆弱であることが分かっている。これらのことから、基本的な設計変更を行った場合を除き、現在のネットワークベースIDSでは、企業ネットワークで有効な侵入保護を用意できないことは明らかである。
■あまりにも多い誤検出
ネットワークベースIDS製品のもう1つの問題は「誤検出」、つまり正常なデータトランザクションであるにもかかわらず、ネットワークベースIDSで攻撃として検出されるケースが多いということだ。例えば、ネットワークベースIDSにとってping of death攻撃の発生時に警告を生成するのは容易だが、任意の種類のpingを検出するたびにネットワークベースIDSが警告を生成すれば、逆効果になる場合もある。実際、事情をよく知る侵入者は、オオカミ少年のシナリオを意図して多数の警告を生成させ、ネットワーク管理者がこれらの警告をフィルタアウトするか、あるいは無視したと思われる段階で本来のping of death攻撃を仕掛けたりもする。
 |
「連載 Web改ざんの現状と対策」 |
出典:Scan Security Handbook Vol.5
2000/10/11発行
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
