 | 「DVLabs」シニアマネージャ ロヒト・ダマンカール氏 「TippingPoint日本支社とNTTアドバンステクノロジ株式会社が共催の「TippingPoint Technical Forum」で講演を行う」 |
●大きく3つに分類できる最新のネットワーク脅威の傾向
3月10日、都内においてTippingPoint日本支社(日本支社長 相馬 正幸)とNTTアドバンステクノロジ株式会社が共同で「TippingPoint Technical Forum」を開催した。壇上に立ったTippingPoint社の研究開発機関である「DVLabs」のシニアマネージャを務めるロヒト・ダマンカール氏はDVLabsだけでなく「SANS Top-20 Internet Security Attack Target project」ディレクターも務めており、最新の脅威について分析、対策を行っている。
ロヒト氏はまず、最新のネットワーク脅威の傾向として、「過去に大規模な被害をもたらしたワームが現在も活動しており、新たな亜種も発生しつつけていること」「情報に対するクリティカルな攻撃の増加」「インフラに対するクリティカルな攻撃の増加」の3つを挙げた。
過去のワームについては、「Slammer」および「Windows RPCワーム」を例に挙げ、2008年のデータにおいてもこれらのワームは世界中のTippingPoint IPSで検出されており、「Slammer」は1月下旬に20万台近く、「Windows RPCワーム」は2月上旬に3千台近くを検出している。また、最新のデータでは、検出される「Windows RPCワーム」のうち「Blaster」が半数近く、「Sasser」が3割を占め、「Gaobot」が2割弱を占めていた。
なお、システムが攻撃された原因は、日本の場合「Windows RPCワーム」では「Sasser」および「Zotob」、Webアプリケーションへの攻撃では「PHPファイル追加」、またブルートフォース攻撃が多いという。ただし、TippingPoint IPSを大学に導入しモニタした結果では、3日間に7,000以上、平均2分に3回の攻撃が観測されたが、IPはカナダのものでホストはスイスと攻撃のグローバル化が進んでおり、地域性は希薄になっているという。
攻撃手法のステルス化も顕著であり、ロヒト氏はクライアントPCを攻撃するためにWebページに潜ませる手法のひとつを紹介した。これは、HTMLをわかりにくくすることでセキュリティ対策をすり抜けるというもの。「f」を「0x66」、「a」を「0x61」などASCIIコードをベースに手を加えることで、「<iframe>」は「<i146r'+'u0061u006d145」となる。これによりセキュリティをかいくぐり、悪意あるプログラムの実行やダウンロードなどに悪用する。
●セキュリティは守るより攻撃する方が儲けになる
 | ロヒト・ダマンカール氏 「攻撃者のモチベーションも、従来の愉快犯的な攻撃をアピールするようなものから、金銭的な目的に移行してきた。セキュリティは守るより攻撃する方が儲けになり、政治や宗教をベースとするテロなどがモチベーションを上げている」 |
また、情報に対するクリティカルな攻撃の増加では、Webアプリケーションを含むアプリケーションやOSの脆弱性が背景にある。PHPファイルインクルード、SQLインジェクション、クロスサイトスクリプティングの3種類で、攻撃全体の66%を占めている。さらに、これら3種類の攻撃やVoIPとフィッシングを組み合わせた攻撃も増加する兆しがあり、警戒を強める必要があるとしている。
インフラに対するクリティカルな攻撃は、いわゆるサイバー攻撃で、やはり増加傾向にある。最近では、エストニアがロシアを発信元とするDDoS攻撃を受け、エストニアのネットワークが深刻なダメージを受けた。また、電力などライフラインで使用される独自のプロトコルをコントロールしようとする攻撃も確認されており、ライフラインを人質として身代金を要求するサイバー攻撃も想定すべきであるとしている。
攻撃者のモチベーションも、従来の愉快犯的な攻撃をアピールするようなものから、金銭的な目的に移行してきた。セキュリティは守るより攻撃する方が儲けになり、政治や宗教をベースとするテロなどがモチベーションを上げているという。また、アジアが攻撃の温床となっていることがデータから明らかになっている。攻撃手法は洗練され、複雑化、巧妙化も進んでいるため、それらに対応したセキュリティ対策が求められているとロヒト氏はまとめた。
●TippingPoint IPSの強み
ソフトウェアなどは次々に新しい脆弱性が発見されている。また、攻撃だけでなく攻撃者の数も増加しており、攻撃の手法も多岐にわたっている。また、企業ネットワークに接続される端末の数やIPベースのアプリケーションの数も増加し、これらも漏れなく脅威から守る必要がある。しかし、これに対し企業のセキュリティ能力はなかなか強化されていかない。ロヒト氏はこれを「セキュリティギャップ」と言い、ギャップは増え続けているという。
セキュリティギャップを解消するには、「悪意あるトラフィックを遮断すること」「企業内の誰がどのようなデバイスを使用しているかの把握」「機密情報を漏らさない」という3つの要件を満たす必要がある。しかし、IDSによる従来の対策では外部からネットワークのトラフィックを監視するため、手動によりアラートを出すため効率が悪く、またIDSをインラインに設置し半自動化しても帯域が限定される上にフィルタの数も増やせず、レイテンシーが低くなってしまう。
TippingPoint IPSでは、インラインに設置することでトラフィックを漏れなく監視し、悪意あるトラフィックを遮断できる。しかも、自動的にアップデートされる「脆弱性フィルタ」「Exploit-Specificフィルタ」「ポリシーフィルタ」「プロトコルアノマリフィルタ」といった複数のフィルタによって、誤検知なく最新の脅威から企業を守ることができる。帯域制御も可能だ。
IPSを企業ネットワークのさまざまな場所に配置していくことで、より強固に企業を守ることが可能となる。さらに、今後は冗長化が可能な10Gbpsのスループットに対応することで負荷分散を実現し、またNAC(Network Access Control)によって、誰が何でアクセスしているかなどを詳細に把握することができる。ロヒト氏は最後に「Wall Street Journal」の記事を紹介した。これによると、PCにウイルス対策ソフトが必要なように、ネットワークにはIPSが必要となる。また、今後IPSはネットワーク保護のため必須となり、2011年には2千億円規模の市場になるとしている。
【執筆:吉澤亨史】
【関連記事】
日本のIPS導入状況は〜専業ベンダTippingPoint相馬支社長(1)
https://www.netsecurity.ne.jp/3_11159.html
日本のIPS導入最新動向〜専業ベンダTippingPoint相馬支社長(2)
https://www.netsecurity.ne.jp/3_11275.html
【関連リンク】
TippingPoint日本支社 japan@tippingpoint.com
http://www.tippingpoint.com/japan/
![人気連載 Scan PREMIUM Monthly Executive Summary の岩{丼}先生の著作にサインいただきました [Scan PREMIUM 創刊25周年記念キャンペーン 読者特典] 画像](/imgs/std_m/43329.jpg)
