ありふれた攻撃手法で攻略される最新セキュリティシステム (1)〜検知困難な古典的攻撃が流行する？

＞＞最新セキュリティマンションの無施錠部屋への侵入

高層タワー、オートロックシステム、警備万全のマンション。しかし、空巣被害は増加しているという。その中で、「あれ？」と気が抜けてしまう手口が、無施錠の部屋への侵入だ。その被害額も、1億円を超えることもあったというから驚くばかりである。鉄壁なセキュリティ体制に安心し、基本的なことを忘れてしまうと、何の変哲も無い方法で被害を被ることになる。

このことはリアル社会に限らず、インターネット社会にも共通していえる。高額なセキュリティ機器をゲートウェイに設置し、ウイルスやハッカーからの攻撃に絶対の自信を持っていたにも関わらず、気が付くとガッカリするくらい、しょうもない理由で侵入されてしまったというケースが後を絶たない。そして、被害サイトの担当者は決まって同じ事をいう。「IPSも設置してあるのに侵入されました。未知の攻撃でしょうか？」と。

よく耳にする「未知の攻撃」というフレーズ。ゼロデイの脆弱性は増加傾向にあることは事実だが、殆どが受動的攻撃に悪用されるものであるし、新しい攻撃手法は、頻繁に編み出されるものでもない。攻撃手法の核となる技術は、ほぼ確立されているのだ。そういった意味で、サイト担当者は、先ず近くのネットワークやサーバの戸締り確認から始めるべきなのだ。

とは、言うものの、非常に気付きづらい攻撃手法が多いことは事実である。昨今、頻発している侵入手法はどのような手口で侵入しているのだろうか。

＞＞知っておきたいIDS/IPS回避技術と検知傾向の微妙な関係

IDS/IPSの話をする前に、IDS/IPSの運用環境における「見えるもの」と「見えないもの」を知っておく必要がある。見えないものは、広義での「フォールス・ネガティブ（攻撃を正常通信として判断してしまう誤検知）」といえるだろう。

何故、攻撃が見えないかというと、次の2つが考えられる。

（1）セキュリティ関連装置の回避技術を用いた攻撃
（2）根本的に検出が難しい攻撃
がある。

（1）はIDS/IPSなどのチューニング次第で検出可能になる。しかし、（2）に関しては、製品の仕様やサイトの特性、運用体制などトータルな対応が必要になる。実際に厄介なのは、（2）のような攻撃が（1）の攻撃にシフトしたときだ。
例えば、「見えない（見づらい）」とされていた既知の攻撃といえば、一時期ブームだったSQL Injectionが挙げられる。

さて、ここからが本題だ。公的機関やセキュリティベンダーの公開レポートによると、ここ1,2年間、情報漏洩に紐付け、依然SQL InjectionやXSSといったキーワードが取り沙汰されている。

ご存知のように、これらの情報はIDSやIPS、Firewallなどのセキュリティ機器のログから集計した情報だ。つまり「既知」の攻撃手法のうち、「検出可能」な攻撃の統計情報ということになる…

【執筆：二根太】

──
この記事には続きがあります。
全文はScan Security Management本誌をご覧ください。

◎有料版Scan申込＞ http://www.ns-research.jp/cgi-bin/ct/p.cgi?m02_ssm