ありふれた攻撃手法で攻略される最新セキュリティシステム (2)〜気長なブルートフォース、パスワードクラックまで3日間

＞＞原始的攻撃でもさじ加減ひとつで検知が難しくなる

SQL Injectionと一緒に問題となっているのが、メンテナンス経路の認証問題だ。SSH やFTPへのブルートフォース攻撃の増加は、以前から報告されている事実だ。最近の資料では、IPA「情報セキュリティ白書」にも安易なパスワードが狙ったブルートフォース攻撃が多数観測されている旨が記載されている。

情報セキュリティ白書
http://www.ipa.go.jp/security/vuln/documents/2006/ISwhitepaper2007.pdf

実は、昨年から今年にかけて、フィッシングWebサイトに悪用されていたケースなどを含む事件に筆者は関わったが、その殆どもSSHへのブルートフォース攻撃が切り口となっていた。この原始的な攻撃に気付かない理由は幾つかある。そのうち、（鍵認証の問題は、さておき）代表的なものは、次の3つだ。

・巧妙になった攻撃ツール
・IDS/IPSの仕様上の問題
・サーバ運用上の問題

（1）被害サーバのログを確認すると、ブルートフォース攻撃のスピードが遅いものがある。単位時間(min)あたりに複数の攻撃を行うのではなく、ゆっくりと行うことで、トラフィック異常としてセキュリティ監視装置や障害監視装置に検出させないようにしているのだ。中には、攻撃時間をも分割し、3日間ほどかけているものもあった。

（2）IDS/IPSは製品により検出方法が異なる。ブルートフォースとして検出する製品もあれば、過剰な同一ポートへの接続として、DoS攻撃と検出するものがある。この検出方法の主な仕組みは、「しきい値判定」によるものだ。ある一定の接続数を超えると、攻撃と判定する仕組みだ。ログイン操作自体は不正通信でないため、このような単純な検出方法に頼らざるを得ないのが現状だ。（アクセスコントロールは無いと仮定した場合）

しかし、ここで仕様の違いがある。製品により、「単位時間あたりの接続数」をカウントしているものと、「接続数の累積値」をカウントしているものがあるのである。それぞれ、一長一短であり、前者はバースト的なトラフィック発生の検知には強いが、（1）で紹介したように攻撃時間を遅延されてしまうと検知が出来ない問題がある。後者の場合は、攻撃時間の遅延に対しては有効だが、大量のフォールスポジティブの発生が懸念される。これらの仕様を理解していなければ、攻撃に気付くことは難しいのだ。

（3）実は、一番多い問題がこれだ。レンタルサーバやホスティングサーバに多いのだが、ユーザがFirewallやサーバの設定により、アクセスコントロール出来ることを知らないケースだ。筆者のハニーポットで観測されるブルートフォースを仕掛けてくる攻撃元は、ホスティングサービスを利用している企業のサーバが踏み台になっているケースが散見される。連絡を行っても、運用はアウトソースしているためか、何処吹く風といったところも多いのが現状だ…

【執筆：二根太】

──
この記事には続きがあります。
全文はScan Security Management本誌をご覧ください。

◎有料版Scan申込＞ http://www.ns-research.jp/cgi-bin/ct/p.cgi?m02_ssm