今週のSecurity Check(第174回)

 インターネット上のシステムに対する不正侵入が後を絶たない。筆者の職場であるセキュリティ・オペレーション・センター(以下,SOC)では,一日に10件以上の不正アクセスによる侵入の試みを観測している。また,インターネットセキュリティシステムズの監視サービスを利用している企業・組織のシステムの8割以上において,何らかの侵入行為の兆候が観測されている。

 情報システムが事業の重要な基盤となっている現在では,不正アクセスは,企業経営に直接的な影響を与える可能性が高い。例えば,2005年に不正アクセスを受けたカカクコムでは,2005年度の決算において,Webサイトの一時閉鎖にかかわる特別損失4100万円[注1]を計上している。

注1)関連記事:個人情報漏えい事件を斬る(7):特損4100万円「価格.comショック」の舞台裏

 すべての企業がこのように直接的な影響を受けるとは限らないが,実際に侵入行為を受けると,予想以上に深刻な影響を受けることが少なくない。

 どうすれば不正侵入の被害からシステムを守れるのか---。それを知るには,不正侵入がどのように行なわれているか,その手口を理解することが重要だ。そこで本稿では,ハニーポットを使った観測結果などをもとに,侵入の具体的な手口を解説したい。

不正侵入は4つのステージで構成

 ハニーポット(honey pot)とは,攻撃者の手口などを知るためにネット上に仕掛けた“囮(おとり)”マシンのこと。わざと侵入させて,侵入の方法や侵入後の行動をIDS(侵入検知システム)などで観測する。

 最近の典型的な侵入行為は,次の4段階(ステージ)に大きく分けられる。

  • ステージ1:調査およびアクセス権の取得
  • ステージ2:ツールやデータのダウンロード
  • ステージ3:ツールのインストールやシステムの変更
  • ステージ4:別の攻撃の踏み台などに利用

図 1 典型的な侵入行為における4つのステージ

 以下,最近観測したある侵入行為を例にとり,IDSの検知ログを使ってそれぞれのステージを解説したい。なお,ハニーポット(侵入を受けたマシン)のIPアドレスは「192.168.221.180」。攻撃者のIPアドレスなどは,数字や文字を一部消して特定できないようにしている。

(1)ステージ1(調査およびアクセス権の取得)