IDSを使った侵入検知(10)
●侵入検知の実際(3)〜 検証結果
特集
特集
それでは、今回の検証結果を報告しておこう。
検証は、最終的に約2週間にわたって行った。Alert.idsファイルのサイズは220KBほどである。アラートの回数は日によってまちまちだったが、1時間に数回程度は必ずあった。
そのアラートの内容については、検証機のアラートログに記録された不正パケットの中で最も多かったのが、Slammerによる攻撃パケットであった(「MS-SQL Worm propagation attempt」)。そして、その次に多かったのが、「SCAN Proxy (8080) attempt」「SCAN Squid Proxy attempt」「SCAN SOCKS Proxy attempt」といったプロキシサーバに対するスキャンである。
実は、この2種類の検知だけで全体の9割方を占めていたといっても過言ではない。残りは、一般的なポートスキャン、CodeRedによる攻撃パケットおよび若干の誤検知だった。
<Slammerについて>
Slammerは今年の1月の終わり頃に登場し、瞬く間に世界規模の被害をだした悪質なワームである。しかし、すでに半年近くが経過し、めぼしいところでは対策が完了している。被害なども下火になっているはずだと思っていたが、現実はログの6割近くが「MS-SQL Worm」の文字で埋められ、Slammerからの攻撃を示唆していた。これにはいささか驚かされた。
そこで、攻撃元のIPアドレスをいくつかピックアップし調べてみたところ、その多くが中国(大陸)のISP(?)に割り当てられているアドレスであることが分かった。詳細に追跡を行ったわけではないのでこれ以上のことは不明だが、少なくとも中国本土ではSlammerに感染したままのマシンが多数残っていることは間違いない。ちなみに、CodeRedによる攻撃パケットの検知は2件のみであった。
対応としては、すでに述べたとおり、SQL Serverを利用していない環境では気にする必要はない。どちらかといえば、このシグネチャは無効にしてしまったほうがいいだろう。
<プロキシサーバへのスキャン>
「SCAN Proxy (8080) attempt」と「SCAN Squid Proxy attempt」は、公開されているプロキシサーバを探すためのものである。アンダーグラウンドの世界では、IPアドレスを隠蔽し匿名化するため、いわゆる「公開されてしまっている」プロキシサーバを利用することが多々ある。そのようなプロキシサーバを探すためのスキャンの痕跡が、上記のメッセージである。
もうひとつの「SCAN SOCKS Proxy attempt」は、いわゆるSOCKSプロキシサーバに対するものだ。SOCKSプロキシでは、HTTPプロトコル以外のプロトコルも扱うことができる。例えば、Telnet接続やIRCを利用したチャット(IRCサーバへの接続)などでも利用することが可能だ。通常のプロキシより応用範囲が広く使いでがあるサーバだが、逆に、悪用されるとかなり危険な存在といえる。このSOCKSプロキシサーバを探すためのスキャンが、「SCAN SOCKS Proxy attempt」として検知されたわけだ。なお、このSOCKSプロキシに対するスキャンについては、IRCサーバを運営しているサイトなどがユーザチェックのために意図的に実行している場合もあるようである。
なお、これらプロキシサーバに対するスキャンの中では、SOCKSプロキシに対するものが圧倒的に多かった。発信元をいくつか調べてみたが、やはりというか、中国系が大半を占めていた。
対応としては、MS-SQL Wormのときと同様、プロキシサーバを動かしていない環境では気にする必要はない。あまりに多ければ、シグネチャを無効にしてしまっても構わないだろう。
【執筆:磯野康孝】
「無料セキュリティツールで構築するセキュアな環境 No.1」
〜ZoneAlarm−snort〜
http://shop.vagabond.co.jp/p-fss01.shtml
http://www.d-pub.co.jp/cgi-bin/bannou/shop/book_detail.cgi
(詳しくはScan本誌をご覧ください)
http://shop.vagabond.co.jp/m-ssw01.shtml
《ScanNetSecurity》