今週のSecurity Check(第174回)

 インターネット上のシステムに対する不正侵入が後を絶たない。筆者の職場であるセキュリティ・オペレーション・センター(以下,SOC)では,一日に10件以上の不正アクセスによる侵入の試みを観測している。また,インターネットセキュリティシステムズの監視サービスを利用している企業・組織のシステムの8割以上において,何らかの侵入行為の兆候が観測されている。

 情報システムが事業の重要な基盤となっている現在では,不正アクセスは,企業経営に直接的な影響を与える可能性が高い。例えば,2005年に不正アクセスを受けたカカクコムでは,2005年度の決算において,Webサイトの一時閉鎖にかかわる特別損失4100万円[注1]を計上している。

注1)関連記事:個人情報漏えい事件を斬る(7):特損4100万円「価格.comショック」の舞台裏

 すべての企業がこのように直接的な影響を受けるとは限らないが,実際に侵入行為を受けると,予想以上に深刻な影響を受けることが少なくない。

 どうすれば不正侵入の被害からシステムを守れるのか---。それを知るには,不正侵入がどのように行なわれているか,その手口を理解することが重要だ。そこで本稿では,ハニーポットを使った観測結果などをもとに,侵入の具体的な手口を解説したい。

不正侵入は4つのステージで構成

 ハニーポット(honey pot)とは,攻撃者の手口などを知るためにネット上に仕掛けた“囮(おとり)”マシンのこと。わざと侵入させて,侵入の方法や侵入後の行動をIDS(侵入検知システム)などで観測する。

 最近の典型的な侵入行為は,次の4段階(ステージ)に大きく分けられる。

  • ステージ1:調査およびアクセス権の取得
  • ステージ2:ツールやデータのダウンロード
  • ステージ3:ツールのインストールやシステムの変更
  • ステージ4:別の攻撃の踏み台などに利用


図 1 典型的な侵入行為における4つのステージ

 以下,最近観測したある侵入行為を例にとり,IDSの検知ログを使ってそれぞれのステージを解説したい。なお,ハニーポット(侵入を受けたマシン)のIPアドレスは「192.168.221.180」。攻撃者のIPアドレスなどは,数字や文字を一部消して特定できないようにしている。

(1)ステージ1(調査およびアクセス権の取得)

この先は会員の登録が必要です。有料会員(月額プラン)は申し込み初月無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら