IDSを使った侵入検知（10）

●侵入検知の実際（３）〜検証結果

　それでは、今回の検証結果を報告しておこう。
　検証は、最終的に約2週間にわたって行った。Alert.idsファイルのサイズは220KBほどである。アラートの回数は日によってまちまちだったが、1時間に数回程度は必ずあった。

　そのアラートの内容については、検証機のアラートログに記録された不正パケットの中で最も多かったのが、Slammerによる攻撃パケットであった（「MS-SQL Worm propagation attempt」）。そして、その次に多かったのが、「SCAN Proxy (8080) attempt」「SCAN Squid Proxy attempt」「SCAN SOCKS Proxy attempt」といったプロキシサーバに対するスキャンである。

　実は、この2種類の検知だけで全体の9割方を占めていたといっても過言ではない。残りは、一般的なポートスキャン、CodeRedによる攻撃パケットおよび若干の誤検知だった。

＜Slammerについて＞

　Slammerは今年の1月の終わり頃に登場し、瞬く間に世界規模の被害をだした悪質なワームである。しかし、すでに半年近くが経過し、めぼしいところでは対策が完了している。被害なども下火になっているはずだと思っていたが、現実はログの6割近くが「MS-SQL Worm」の文字で埋められ、Slammerからの攻撃を示唆していた。これにはいささか驚かされた。

　そこで、攻撃元のIPアドレスをいくつかピックアップし調べてみたところ、その多くが中国（大陸）のISP（？）に割り当てられているアドレスであることが分かった。詳細に追跡を行ったわけではないのでこれ以上のことは不明だが、少なくとも中国本土ではSlammerに感染したままのマシンが多数残っていることは間違いない。ちなみに、CodeRedによる攻撃パケットの検知は2件のみであった。

　対応としては、すでに述べたとおり、SQL Serverを利用していない環境では気にする必要はない。どちらかといえば、このシグネチャは無効にしてしまったほうがいいだろう。

＜プロキシサーバへのスキャン＞

「SCAN Proxy (8080) attempt」と「SCAN Squid Proxy attempt」は、公開されているプロキシサーバを探すためのものである。アンダーグラウンドの世界では、IPアドレスを隠蔽し匿名化するため、いわゆる「公開されてしまっている」プロキシサーバを利用することが多々ある。そのようなプロキシサーバを探すためのスキャンの痕跡が、上記のメッセージである。

　もうひとつの「SCAN SOCKS Proxy attempt」は、いわゆるSOCKSプロキシサーバに対するものだ。SOCKSプロキシでは、HTTPプロトコル以外のプロトコルも扱うことができる。例えば、Telnet接続やIRCを利用したチャット（IRCサーバへの接続）などでも利用することが可能だ。通常のプロキシより応用範囲が広く使いでがあるサーバだが、逆に、悪用されるとかなり危険な存在といえる。このSOCKSプロキシサーバを探すためのスキャンが、「SCAN SOCKS Proxy attempt」として検知されたわけだ。なお、このSOCKSプロキシに対するスキャンについては、IRCサーバを運営しているサイトなどがユーザチェックのために意図的に実行している場合もあるようである。

　なお、これらプロキシサーバに対するスキャンの中では、SOCKSプロキシに対するものが圧倒的に多かった。発信元をいくつか調べてみたが、やはりというか、中国系が大半を占めていた。

　対応としては、MS-SQL Wormのときと同様、プロキシサーバを動かしていない環境では気にする必要はない。あまりに多ければ、シグネチャを無効にしてしまっても構わないだろう。

【執筆：磯野康孝】

「無料セキュリティツールで構築するセキュアな環境 No.1」
　〜ZoneAlarm−snort〜
http://shop.vagabond.co.jp/p-fss01.shtml

http://www.d-pub.co.jp/cgi-bin/bannou/shop/book_detail.cgi

（詳しくはScan本誌をご覧ください）
http://shop.vagabond.co.jp/m-ssw01.shtml