●侵入検知の実際(3)〜 検証結果 それでは、今回の検証結果を報告しておこう。 検証は、最終的に約2週間にわたって行った。Alert.idsファイルのサイズは220KBほどである。アラートの回数は日によってまちまちだったが、1時間に数回程度は必ずあった。 そのアラートの内容については、検証機のアラートログに記録された不正パケットの中で最も多かったのが、Slammerによる攻撃パケットであった(「MS-SQL Worm propagation attempt」)。そして、その次に多かったのが、「SCAN Proxy (8080) attempt」「SCAN Squid Proxy attempt」「SCAN SOCKS Proxy attempt」といったプロキシサーバに対するスキャンである。 実は、この2種類の検知だけで全体の9割方を占めていたといっても過言ではない。残りは、一般的なポートスキャン、CodeRedによる攻撃パケットおよび若干の誤検知だった。<Slammerについて> Slammerは今年の1月の終わり頃に登場し、瞬く間に世界規模の被害をだした悪質なワームである。しかし、すでに半年近くが経過し、めぼしいところでは対策が完了している。被害なども下火になっているはずだと思っていたが、現実はログの6割近くが「MS-SQL Worm」の文字で埋められ、Slammerからの攻撃を示唆していた。これにはいささか驚かされた。 そこで、攻撃元のIPアドレスをいくつかピックアップし調べてみたところ、その多くが中国(大陸)のISP(?)に割り当てられているアドレスであることが分かった。詳細に追跡を行ったわけではないのでこれ以上のことは不明だが、少なくとも中国本土ではSlammerに感染したままのマシンが多数残っていることは間違いない。ちなみに、CodeRedによる攻撃パケットの検知は2件のみであった。 対応としては、すでに述べたとおり、SQL Serverを利用していない環境では気にする必要はない。どちらかといえば、このシグネチャは無効にしてしまったほうがいいだろう。<プロキシサーバへのスキャン> 「SCAN Proxy (8080) attempt」と「SCAN Squid Proxy attempt」は、公開されているプロキシサーバを探すためのものである。アンダーグラウンドの世界では、IPアドレスを隠蔽し匿名化するため、いわゆる「公開されてしまっている」プロキシサーバを利用することが多々ある。そのようなプロキシサーバを探すためのスキャンの痕跡が、上記のメッセージである。 もうひとつの「SCAN SOCKS Proxy attempt」は、いわゆるSOCKSプロキシサーバに対するものだ。SOCKSプロキシでは、HTTPプロトコル以外のプロトコルも扱うことができる。例えば、Telnet接続やIRCを利用したチャット(IRCサーバへの接続)などでも利用することが可能だ。通常のプロキシより応用範囲が広く使いでがあるサーバだが、逆に、悪用されるとかなり危険な存在といえる。このSOCKSプロキシサーバを探すためのスキャンが、「SCAN SOCKS Proxy attempt」として検知されたわけだ。なお、このSOCKSプロキシに対するスキャンについては、IRCサーバを運営しているサイトなどがユーザチェックのために意図的に実行している場合もあるようである。 なお、これらプロキシサーバに対するスキャンの中では、SOCKSプロキシに対するものが圧倒的に多かった。発信元をいくつか調べてみたが、やはりというか、中国系が大半を占めていた。 対応としては、MS-SQL Wormのときと同様、プロキシサーバを動かしていない環境では気にする必要はない。あまりに多ければ、シグネチャを無効にしてしまっても構わないだろう。【執筆:磯野康孝】「無料セキュリティツールで構築するセキュアな環境 No.1」 〜ZoneAlarm−snort〜http://shop.vagabond.co.jp/p-fss01.shtmlhttp://www.d-pub.co.jp/cgi-bin/bannou/shop/book_detail.cgi(詳しくはScan本誌をご覧ください)http://shop.vagabond.co.jp/m-ssw01.shtml
