ありふれた攻撃手法で攻略される最新セキュリティシステム (2)〜 気長なブルートフォース、パスワードクラックまで3日間 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.10.23(月)

ありふれた攻撃手法で攻略される最新セキュリティシステム (2)〜 気長なブルートフォース、パスワードクラックまで3日間

特集 特集

>>原始的攻撃でもさじ加減ひとつで検知が難しくなる

SQL Injectionと一緒に問題となっているのが、メンテナンス経路の認証問題だ。SSH やFTPへのブルートフォース攻撃の増加は、以前から報告されている事実だ。最近の資料では、IPA「情報セキュリティ白書」にも安易なパスワードが狙ったブルートフォース攻撃が多数観測されている旨が記載されている。

情報セキュリティ白書
http://www.ipa.go.jp/security/vuln/documents/2006/ISwhitepaper2007.pdf

実は、昨年から今年にかけて、フィッシングWebサイトに悪用されていたケースなどを含む事件に筆者は関わったが、その殆どもSSHへのブルートフォース攻撃が切り口となっていた。この原始的な攻撃に気付かない理由は幾つかある。そのうち、(鍵認証の問題は、さておき)代表的なものは、次の3つだ。

・巧妙になった攻撃ツール
・IDS/IPSの仕様上の問題
・サーバ運用上の問題

(1)被害サーバのログを確認すると、ブルートフォース攻撃のスピードが遅いものがある。単位時間(min)あたりに複数の攻撃を行うのではなく、ゆっくりと行うことで、トラフィック異常としてセキュリティ監視装置や障害監視装置に検出させないようにしているのだ。中には、攻撃時間をも分割し、3日間ほどかけているものもあった。

(2)IDS/IPSは製品により検出方法が異なる。ブルートフォースとして検出する製品もあれば、過剰な同一ポートへの接続として、DoS攻撃と検出するものがある。この検出方法の主な仕組みは、「しきい値判定」によるものだ。ある一定の接続数を超えると、攻撃と判定する仕組みだ。ログイン操作自体は不正通信でないため、このような単純な検出方法に頼らざるを得ないのが現状だ。(アクセスコントロールは無いと仮定した場合)

しかし、ここで仕様の違いがある。製品により、「単位時間あたりの接続数」をカウントしているものと、「接続数の累積値」をカウントしているものがあるのである。それぞれ、一長一短であり、前者はバースト的なトラフィック発生の検知には強いが、(1)で紹介したように攻撃時間を遅延されてしまうと検知が出来ない問題がある。後者の場合は、攻撃時間の遅延に対しては有効だが、大量のフォールスポジティブの発生が懸念される。これらの仕様を理解していなければ、攻撃に気付くことは難しいのだ。

(3)実は、一番多い問題がこれだ。レンタルサーバやホスティングサーバに多いのだが、ユーザがFirewallやサーバの設定により、アクセスコントロール出来ることを知らないケースだ。筆者のハニーポットで観測されるブルートフォースを仕掛けてくる攻撃元は、ホスティングサービスを利用している企業のサーバが踏み台になっているケースが散見される。連絡を行っても、運用はアウトソースしているためか、何処吹く風といったところも多いのが現状だ…

【執筆:二根 太】

──
この記事には続きがあります。
全文はScan Security Management本誌をご覧ください。

◎有料版Scan申込> http://www.ns-research.jp/cgi-bin/ct/p.cgi?m02_ssm
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

    グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

  2. [対談] 人工知能は重要経営課題となったサイバーリスクに対抗できるか

    [対談] 人工知能は重要経営課題となったサイバーリスクに対抗できるか

  3. マンガで実感 !! サイバーセキュリティ 第1話「静かなる目撃者」

    マンガで実感 !! サイバーセキュリティ 第1話「静かなる目撃者」

  4. Heart of Darknet - インターネット闇の奥 第3回「アクターとダークウェブ」

  5. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第4回 「"やりかねない"男」

  6. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第1回 「プロローグ:身代金再び」

  7. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  8. Man in the Browser と Man in the Middle 攻撃(CA Security Reminder)

  9. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第 5回「ウソも方便」

  10. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第3回「通信密室」

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×