1. HOME
  2. シスログ談話室
  3. サイバー攻撃と対抗ツール

サイバー攻撃と対抗ツール

ここでは攻撃の種類と展開、検出の方法、ツールの使用方法、ログの保存と解析について説明します。さらに、今後の攻撃による脅威を減少させる方法を説明します。

社会におけるテロの恐怖が増大するのと同様に、我々の前には「次に何をしようか?」という変質狂者がたくさん現れております。

我々は過去に必要としなかった、以下の問いに対する答えが必要になっております:

  1. 私は攻撃を受けるか
  2. 誰に攻撃されるか
  3. どのように攻撃されるか
  4. いつ攻撃を受けるか
  5. どのくらい続くか などです

攻撃について

まず攻撃にはいろいろなタイプがあることを知らなければなりません。攻撃のアプローチはいろいろあります。Email、Webそして脆弱性に対する直接的な攻撃があります。もちろん物理的な攻撃も含まれます。
Emailは非常に一般的な攻撃方法であり、通常はそれをオープンもしくは実行するとウィルスワームトロイの木馬などのペイロードが展開されるファイルが添付されています。今日では81,000以上の脅威があるといわれます。
ウィルスはいろいろな形でやってきます。あるものはJobgmgr.exe hoaxのようにコンピュータシステムそのものに障害をもたらします。

これは大量メール送信の例ですが、実行プログラムを削除するとシステムが正常に動作しなくなります。
他の攻撃はトロイの木馬です。コンピュータの世界では無害を装ったセキュリティを破壊する不正なプログラムを言います。
このようなプログラムがシステムにインストールされると、他のシステムへのDoS攻撃を行い、またBack Orifice, IniKiller, NetBus, NetSpy, Priority, Ripper, Senna Spy, Strikerのような攻撃アクティビティを許すポートをオープンします。
あるいはハードディスク上のファイルを削除したり、クレジットカードや銀行口座などの個人情報を収集します。あるいはハッカーに自由にコンピュータをコントロールさせることを許すことになります。

あるときはEmailは合理的なオファーを提供するように見えるサイトへのリンクを持ちます。通常これらの合理的なオファーは注意深く作られたWebサイトであり、保護されないコンピュータシステムの不用心なユーザーに付け込みます。

WebサイトへのリンクはEmailで送られるばかりではなく、ハッカーは感染を拡大させるその他の戦術を持ちます。

第一はWebページのリダイレクションです。
Webページリダイレクションはリンクやサイトに埋め込んだコードで他のサイトにリダイレクトするものです。

このようなページは通常ポップアップやポップアンダーを引き起こします。
これらの追加Webウィンドウはハッカーが注意深く作成したコードを実行します。
無用心なユーザーをおびき寄せるもうひとつの方法はユーザーの知識を利用した間違った名前のドメインを使うことです。
正しいサイトのつもりで、ユーザーがつづり間違いのサイトを開くと望ましくないサイトにリダイレクトされます。
有名なwhitehouse.comのようなサイトです。

脆弱性攻撃は一般的にはデバイスコードに見つかった欠陥を利用します。
コードの欠陥はハッカー自身が発見することもあれば、また既知の脆弱性をWebで検索します。
これらの脆弱性を知り、使ってシステムを攻撃します。脆弱性のあるシステムに一旦侵入できると、ハッカーは同様な攻撃が可能な他のシステムを探します。
このとき、最悪の場合はすでにシステムのアクセス権が奪われています。

物理的な攻撃は、おそらく、最悪の結果をもたらします。このタイプはいつも明白とは限りません。
付き添いなしで誰かが会社の一部にでも立ち入ることは、ネットワークにとって有害です。
攻撃者はセキュリティ担当者、掃除人、同僚さえもだますノウハウを持っています。

ツール

セキュリティ専門家がネットワークを評価するためにはツールが必要です。
セキュリティ専門家のツールボックスはスキャンや解析のためのプログラムに限定されません。
ツールバッグにはアンチウィルススキャナー、パッチ管理、ルータ情報ツール、ファイアーウォールログ、コンフィグレーション情報を得るツール、基本的なDOSユーティリティなどが含まれます。

SuperScan4やAngryIPのようなポートスキャナーは管理者がワークステーションやサーバーの設定ミスを評価するための機能を提供します。ANgryIPは非常に高速なWindows用IPスキャナーです。
SymantecのNorton Antivirusはemail、インスタントメッセンジャーやファイルを保護します。自動的にスキャンし、感染を発見し、ウィルス、ワーム、トロイの木馬などを除去します。
パッチ管理は連続した業務です。
作業を容易にするには良い製品が必要です。
HFNetChkProはパッチの展開をリモートに実行します。
グループを作成することにより全てに展開する前にテストすることができます。
この製品は詳細なレポートを作成しパッチリソースへの適切なリンクを提供します。

ルータの情報はどのように収集しますか?
多くの人は昔ながらの方法を使っていることでしょう。
デバイスにtelnet接続し、コンフィグレーションをコピーし、いくつかのルータIOSコマンドを実行します。
信じるかどうかは別ですが担当者の代わりに、そのような情報を収集する製品が開発されています。
代表的な製品がKiwi社のCatToolsです。

この製品はネットワークデバイスのコンフィグレーション管理の自動化のためのものです。
コンフィグレーションのバックアップに加え、IOSバージョン、MACアドレス、ARPテーブルの情報を収集し、その変更を追跡します。

製品に含まれるスケジュール機能を使えばレポート生成やコンフィグレーションバックアップをスケジュールタスクとして実行します。

ファイアーウォールは外部ネットワークからの攻撃に対する最前線の防御ツールです。
このデバイスがどのような機能を持ち、どのようにルールを作成するかを知らなければなりません。
設定には十分な注意が必要であり、出荷された状態のデフォルト設定で使用してはいけません。
最低限、不要なポートは全てクローズしてください。
次に装置で実行する不要なサービス、DHCPやVPNなど、をストップしてください。
ファイアーウォールが全ての攻撃からの防御をするものだと誤解しないでください。これは正しくありません。

ファイアーウォールは多くの攻撃からの防御には役立ちますが、本当に必要なトラフィックだけを通過させるようにルールを設定してください。
外向きのトラフィックについても同様です。ファイアーウォールのルールの検証にはログ解析が有効です。
定期的に解析し、必要ならルールを変更してください。

その他の基本的なツールは従来からの、信頼できるDOSツールです。
これらにはPing、Traceroute、Nbtstatなどを含みます。PingはMike Muussによって作成されましたが、ソナーのエコーを想像させる名前をつけられました。

-aオプションを使えばホスト名とIPアドレスが同時にわかります。
TracertはTTLを変更しながらICMPエコーと送信することにより目的までのルールを決定することができます。
TTL数は実際のホップ数になります。TTLが0になるとタイムアウトを返します。

NbtstatはNetBIOS over TCP/IPプロトコル統計を表示します。
NetBIOS名はローカルおよびリモートコンピュータのものでありその名前をキャッシュします。
SamSpadeにはPing、DNS情報、Whois、IPブロック情報を含む便利な統合ツールです。

検出

侵入検出は首尾一貫して実行することが大切です。
これらのソリューションを使えばシステムとデータの整合性の検証が可能です。
検出にはログサーバー、ウィルススキャナー、IDS、ファイル性合成チェックなどを利用します。
多くの人は攻撃検出するだけの目的に本当に全部必要だろうかと疑問を持つでしょう。

ログサーバーは攻撃検出には必須です。
そのようなツールのひとつがKiwi Syslog Serverです。
この製品はシスログSNMPトラップを送信することができる全てのネットワークデバイスからのデータを1箇所で収集します。
ログを受信し結果を画面に表示します。他のシスログサーバーにフォワードするように設定することもできます。
ウィルススキャンはすでに述べたように、すぐ実行してください。
会社の環境ではサーバー/クライアント構成にしてください。
更新を全てサーバーが処理すると管理が簡単です。

クライアントはスケジュールに従いサーバーから最新ウィルス定義をもらいます。
このスケジュールは毎日必要です。あるウィルススキャナーベンダーは新しい定義を週単位で更新します。
通常は1日に複数回更新されることがあります。ウィルスアラートメーリングリストにはぜひ参加してください。

IDSは攻撃の検出には非常に効果的です。ひとつの著名なツールがSNORTです。

この製品はオープンソースの侵入検出システムであり、IPネットワークのリアルタイムトラフィック解析とパケット記録を行います。
プロトコル解析、コンテンツ検索/一致チェックが可能であり、各種の攻撃を検出します。

たとえばバッファオーバーフロー、ステルスポートスキャン、CGI攻撃、SMBプローブ、OSフィンガープリント入手、その他を検出できます。
SNORTはルールベースの侵入検出システムでありIDSの世界を主導しています。
ルールセットのカスタマイズでデータパケットを分析するとウィルススキャナーにもなります。
侵入検出システムは全てのネットワークの内外で重要なパーツです。

ネットワークスキャンはネットワークのアクティブホスト、IPアドレスとオープンポートをマッピングするものです。
他の方法は逆マッピングです。
逆マッピングはネットワークの非アクティブIPアドレスの情報を集めるステルスアプローチです。

攻撃者はこの情報からどのIPアドレスがアクティブホストかを決定しネットワークをマッピングします。
これらのツールは組織内で直接許可を得て使用してください。

ネットワークスキャンの実行は場合によっては余分なネットワークトラフィックとなり、性能を低下させます。
使用はコントロールできる範囲内のネットワークに限ってください。

ネットワークスキャンニングを使う他のアプローチは、どのようなタイプの情報の漏洩可能性があるかを見つけることです。
システムのクエリーだけでシステムの興味深い事実が入手できることがあります。

それらはIPとMACアドレス、ヌルセッション、OSの種類などです。
Netbios名、ドメインやワークグループ名、サービスタイプ、オープン共有、ユーザーやグループアカウント、アカウントポリシー情報なども含まれます。
システムが外部に出す全ての情報に注意が必要です。定期的にネットワークスキャンを実施し、他の人が実行する前に、見つけてください。不要なサービスやポートをクローズします。)

ファイルの整合性チェックはクリティカルなシステムファイルへ侵入されていないかを確認する方法です。
これらのファイルはレジストリー、スタートアップ、カーネルファイル、DLLやEXEを含むプログラムファイルなどを含んでいます。
Tripwire22はファイル性合成チェックのための管理機能を提供します。
このソフトウェアは内容を良く知っている汚染されていないファイルのディジタルインベントリーを確立し、使用することで変化を監視します。

インシデント取り扱い

全てのログを収集し集中化した後は、解読します。
そのためにはいくつかのアプローチがあります。
自動化による方法と手動による方法があります。
後者はより多くの結果が得られます。

まず自動化による方法です。
少なくともルーターやファイアーウォールのアップデートやアラートを通報するように設定します。

次にKiwi Syslog Server(旧 Kiwi Syslog Daemon)などを使い、フィルターされたシスログメッセージをEmailで通知するように設定します。
SNORTも類似の機能を持ちます。
Kiwiは毎日のアクティビティレポートを提供します。
これは非常に有効であり、受信メッセージ数に関し、合計、直前24時間、直前1時間、現在の1時間、0時からの平均値などが簡単にわかります。
seberithiティによるメッセージ数も分類されます。

手動のログ解読も必要です。解読ツールにより検索が容易になります。
送信元IP、宛先IP、ポート、キーワード、コマンド、日時、メッセージレベルなどがわかります。

ウィルススキャナーのレポートも価値があります。

”マシンのウィルス定義は最新ですか”というような質問を受けたことがありますか。
ウィルススキャンログがあればこれらに答えられるほか、最新のウィルス、トロイの木馬、ワームに対しても安全か知ることができます。
今までにシステムにログオンしようとした人を知りたいことはありませんでしたか?
イベントログがなかったり、監査がオンでなければ知ることはできません。
イベントログを集中管理するとこれらが容易に行えます。

他の方法はイベントログを集中シスログサーバーの送信することです。
イベントログからシスログへの変換ツール(たとえばEventSentryなど)を使うとKiwi Syslog Serverのリアルタイムに近い監視機能が効果的に使えます。

攻撃の前後で効果的な他の方法は:

  • Windowsのデフォルトイベントログコンフィグレーションは監査と攻撃検出にとっては効果的ではありませんので変更が必要です。それらをオンにし最大ログサイズを大きくしてください。
  • ログデータは必ず別のログサーバーに保存してください。さもなければ攻撃者に簡単に変更されてしまいます。
  • ログサーバーは十分堅固にします。
  • イベントログデータだけでは攻撃の追跡には不十分です。他の情報も必要です。
  • いくつかのテキストログファイル、たとえばIISログ、DHCPログも必ずチェックしてください。通常はどのような状態かを知ることが大切です。
  • 重要なシステムファイルの監査をオンにし、非認定プロセスからのアクセスをチェックしてください。

サーバーやワークステーションのパッチレベルはどうですか?最新ですか?
セキュリティスキャナーなどでチェックしてください。
1台に侵入された形跡が見つかったらどうしますか?攻撃にも依存しますが、パッチレベルが一致していたら攻撃を受けた可能性があります。

脅威の除去

これは誰でもが持っている実に大きな問題です。
脅威は除去できるものだと考える人がいるかもしれません。
しかしソフトウェアやハードウェアベンダーが欠陥のある製品を作る限り何らかの脆弱性は必ず存在すると考えてください。
セキュリティ専門家の仕事はこれらの脅威を極小化し現実の問題にならないようにすることです。どうすればできるでしょうか。

ネットワークやシステムに対するアクセスをファイアーウォールやルータの設定を最も厳格にし制限しなければなりません。
アクセスコントロールリストの設定でネットワークに到達できる既知のアドレスからの攻撃さえストップさせることが可能です。
まず全てを拒否するルールを作成し、その後、必要な許可ルールを作成します。
ファイアーウォールの外部に設置したIDSは攻撃者情報を提供するとともに抑止します。
すべてのソフトウェアのパッチとウィルス定義を最新レベルにしなければなりません。
ウィルススキャナーでネットワークに達する前にスキャンする効果は計り知れません。ネットワークやシステムへの障害を防ぐための終りのない仕事です。
物理的なセキュリティは管理者自身からスタートします。

鍵のかかる書棚やロッカーが必要です。
データセンターをセキュアにすると認証なしでは誰も立ち入ることができません。
自分自身に気をつけてください。
管理者は重要な情報を置き去りにする最も危険な存在です。

床の上のハブやスイッチの使用は制限し、目に見えない場所に隠してください。
ネットワークに不要な装置が接続されていないことを確認してください。
見知らぬ人には声をかけてください。
この注意深さで攻撃を防ぐことが時々あります。
会社に立ち入る人には付き添いが必要です。これは最も重要なことです。

他の攻撃防御の成功例はユーザーに対するセキュリティトレーニングを行うことです。
攻撃の傾向、侵入による影響度、セキュリティにおけるユーザーの役割、ハッカーのタイプや動機、情報資産への脅威、不正コード(ウィルス、ワーム、トロイの木馬など)、キーポリシーなどのトレーニングはユーザーを賢くし、管理者がネットワークをセキュアにする努力を無にしません。
セキュリティの強度はネットワークの最も弱いところが基準であることを理解してください。

結論

終了した攻撃から逃れることはできません。
どのようにすると攻撃にさらされる可能性が少なくなる、あるいはストップさせることができるかを学ばなければなりません。

セキュリティを解決する「銀の銃弾」はありません。
安全のためには何段階もの対策が必要です。
それが安全であるための唯一の方法です。

システムを強固にし、第三者によるアクセスをブロックすることはできます。
ネットワークをスキャンして異常な状況を見つけることはできますが、セキュリティのもっとも弱いリンクを完全になくすることはできません。
それらを知ることによりもっとセキュアになることは可能です。

ツールの使用により「誰が」、「どのように」、「いつ」、「どのくらいの時間」、を見つけることは可能です。
プロアクティブなセキュリティ専門家とは常にセキュリティの脅威に先行して考え対策を実行する人です。