IDSを使った侵入検知(10) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.09.23(土)

IDSを使った侵入検知(10)

特集 特集

●侵入検知の実際(3)〜 検証結果

 それでは、今回の検証結果を報告しておこう。
 検証は、最終的に約2週間にわたって行った。Alert.idsファイルのサイズは220KBほどである。アラートの回数は日によってまちまちだったが、1時間に数回程度は必ずあった。

 そのアラートの内容については、検証機のアラートログに記録された不正パケットの中で最も多かったのが、Slammerによる攻撃パケットであった(「MS-SQL Worm propagation attempt」)。そして、その次に多かったのが、「SCAN Proxy (8080) attempt」「SCAN Squid Proxy attempt」「SCAN SOCKS Proxy attempt」といったプロキシサーバに対するスキャンである。

 実は、この2種類の検知だけで全体の9割方を占めていたといっても過言ではない。残りは、一般的なポートスキャン、CodeRedによる攻撃パケットおよび若干の誤検知だった。


<Slammerについて>

 Slammerは今年の1月の終わり頃に登場し、瞬く間に世界規模の被害をだした悪質なワームである。しかし、すでに半年近くが経過し、めぼしいところでは対策が完了している。被害なども下火になっているはずだと思っていたが、現実はログの6割近くが「MS-SQL Worm」の文字で埋められ、Slammerからの攻撃を示唆していた。これにはいささか驚かされた。

 そこで、攻撃元のIPアドレスをいくつかピックアップし調べてみたところ、その多くが中国(大陸)のISP(?)に割り当てられているアドレスであることが分かった。詳細に追跡を行ったわけではないのでこれ以上のことは不明だが、少なくとも中国本土ではSlammerに感染したままのマシンが多数残っていることは間違いない。ちなみに、CodeRedによる攻撃パケットの検知は2件のみであった。

 対応としては、すでに述べたとおり、SQL Serverを利用していない環境では気にする必要はない。どちらかといえば、このシグネチャは無効にしてしまったほうがいいだろう。


<プロキシサーバへのスキャン>

「SCAN Proxy (8080) attempt」と「SCAN Squid Proxy attempt」は、公開されているプロキシサーバを探すためのものである。アンダーグラウンドの世界では、IPアドレスを隠蔽し匿名化するため、いわゆる「公開されてしまっている」プロキシサーバを利用することが多々ある。そのようなプロキシサーバを探すためのスキャンの痕跡が、上記のメッセージである。

 もうひとつの「SCAN SOCKS Proxy attempt」は、いわゆるSOCKSプロキシサーバに対するものだ。SOCKSプロキシでは、HTTPプロトコル以外のプロトコルも扱うことができる。例えば、Telnet接続やIRCを利用したチャット(IRCサーバへの接続)などでも利用することが可能だ。通常のプロキシより応用範囲が広く使いでがあるサーバだが、逆に、悪用されるとかなり危険な存在といえる。このSOCKSプロキシサーバを探すためのスキャンが、「SCAN SOCKS Proxy attempt」として検知されたわけだ。なお、このSOCKSプロキシに対するスキャンについては、IRCサーバを運営しているサイトなどがユーザチェックのために意図的に実行している場合もあるようである。

 なお、これらプロキシサーバに対するスキャンの中では、SOCKSプロキシに対するものが圧倒的に多かった。発信元をいくつか調べてみたが、やはりというか、中国系が大半を占めていた。

 対応としては、MS-SQL Wormのときと同様、プロキシサーバを動かしていない環境では気にする必要はない。あまりに多ければ、シグネチャを無効にしてしまっても構わないだろう。


【執筆:磯野康孝】


「無料セキュリティツールで構築するセキュアな環境 No.1」
 〜ZoneAlarm−snort〜
http://shop.vagabond.co.jp/p-fss01.shtml

http://www.d-pub.co.jp/cgi-bin/bannou/shop/book_detail.cgi


(詳しくはScan本誌をご覧ください)
http://shop.vagabond.co.jp/m-ssw01.shtml

《ScanNetSecurity》

Scan PREMIUM 会員限定

もっと見る

Scan PREMIUM 会員限定特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. マンガで実感 !! サイバーセキュリティ 第1話「静かなる目撃者」

    マンガで実感 !! サイバーセキュリティ 第1話「静かなる目撃者」

  2. Heart of Darknet - インターネット闇の奥 第2回「五十兆円『市場』」

    Heart of Darknet - インターネット闇の奥 第2回「五十兆円『市場』」

  3. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

    クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  4. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第1回 「プロローグ:身代金再び」

  5. 工藤伸治のセキュリティ事件簿 シーズン6 「誤算」 第1回「プロローグ:七月十日 夕方 犯人」

  6. ISMS認証とは何か■第1回■

  7. ここが変だよ日本のセキュリティ 第29回「大事な人。忘れちゃダメな人。忘れたくなかった人。誰、誰……君の名前は……セキュリティ人材!」

  8. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第2回 「二重帳簿」

  9. [セキュリティ ホットトピック] 起動領域を破壊し PC を完全にロックするランサムウェア「Petya亜種」

  10. [セキュリティホットトピック] サイバー攻撃に対して備えるべき機能・組織・文書など、総務省が「防御モデル」として策定

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×