Enterprise Watch
最新ニュース

NEC谷川氏、「感染してもあわてず被害の局所化を図るべき」

~セキュリティ・ソリューション フォーラム in Security Solution 2003 講演

 東京ビッグサイトで開催されている「Security Solution 2003」で10月22日、「攻撃手法から考えるワーム・情報漏えい対策」と題し、日本電気株式会社 IT基盤システム開発事業部 セキュリティ技術センター コンサルティングマネージャーの谷川 哲司氏が講演を行った。

 セキュリティ攻撃からネットワークを守るには、まずその攻撃手法を知らねばならない。同氏は対策の3つの柱として「網羅的な情報収集、堅牢な防御技術、被害の局所化」を挙げ、まず最近のセキュリティ事情に触れた。


BlasterワームとMS03-039の脆弱性

日本電気株式会社 IT基盤システム開発事業部 セキュリティ技術センター コンサルティングマネージャー 谷川 哲司氏
 今年8月のお盆前後に大きな注目を集めた“Blasterワーム”。これが攻撃の対象としているのは、マイクロソフトから7月17日に「MS03-026」として情報公開されたDCOM RPCの脆弱性だった。このセキュリティホールを実証したExploitコードが7月26日にインターネット上で公開され、Blasterワームは8月12日に発見されている。一方、同様にDCOM RPCの別な部分の脆弱性として、9月11日に公表された「MS03-039」に関しても、9月17日にExploitコードが公開されており、その後10月9日にも別のコードが公開されている。この後者のコードではパッチを当てても被害が出る恐れがあるとされており、同氏は、「今後の動きには注目すべき」として会場の大部分を占めていると思われる企業のセキュリティ担当者に注意を促した。ただ同氏によればBlasterワームの際は、「2年前のCodeRedの時ほど問い合わせは多くなかった」とし、企業でのセキュリティ対策が確実に浸透しているとする一方、「今回はインターネットの普及により、弊社のBiglobeなどへの一般からの問い合わせが激増した」とも語った。

 ネットワークへの侵入に関しては、最近長野県で住基ネットへの侵入試験が行われるなど、一般でも注目され始めている。NECでも社内で各分野のプロフェッショナル10人程度によるインシデントレスポンスチームを結成してさまざまな手法で侵入テストを行い、企業のサイバー防衛力を診断するペネトレーションテストを実施しているとのことだ。


バッファオーバーフロー攻撃、DoS/DDoS攻撃、ワーム

 同氏はネットワークへの侵入・攻撃に用いられることの多い具体的な手法として、バッファオーバーフロー攻撃、DoS/DDoS攻撃、ワームの3つを挙げ、それぞれを解説した。

 バッファーオーバー攻撃とは、Root権限を得るために利用されるもので、外部からも内部からも使われる。特に1997年以降、アプリケーションの脆弱性に含まれる比率が跳ね上がっており、近年流行のワームはほぼこの手法を使っている。具体的にはメモリバッファに書き込まれたデータに長い文字列コードを与えて上書きし、スタック領域の戻りアドレスを書き換えることで悪意のあるコードが実行するというもの。「メモリにバッファとスタックの両方があるのはインテルCPUの特徴で、たとえばプログラムとデータの処理領域が分かれていればこういったことは起こらないのだが」と語った。

 DoS攻撃は攻撃対象のサービス停止を引き起こすもので、ターゲットの脆弱性を突くものと、大量パケットを与えて帯域を埋めつくすFlood攻撃に大別される。複数のマシンにエージェントやワームを前もって送り、一斉に分散DoS攻撃を行うのがDDoS攻撃。CodeRedによるホワイトハウスへの攻撃では、感染マシンが攻撃対象とした198.13.240.91のIPアドレスを変更することで攻撃を回避した。同じくBlasterの際に狙われたWindows UpdateサイトはDNS設定を変更することで攻撃を回避している。

 また近年のワームについて同氏は、「ここ2年で急速に高機能化し、進化している」とした。1999年には、マクロウイルス、メール悪用ウイルスが54.8%、30.9%を占めていたが、2002年にはこれらをあわせて24.2%に減少、代わってセキュリティホール悪用ウイルスが74.3%と中心を占めている。これらはメールだけでなく、ネットワーク越しの感染や、CodeRedIIのようにバックドアを作成するなど感染力が強化されており、攻撃手法も前述のDDoS攻撃やシステム破壊を引き起こすものなど悪質化している。この8月に発見されたSobigでは複雑な暗号化処理が施されるなど、カモフラージュ機能でも進化しているとのことだ。また「感染力増大により、想定外のトラフィックがネットワーク負荷を高めた」ことも近年見られる傾向に挙げた。


感染防止だけでなく被害拡大を抑えることも重要

 同氏はこれらへの対策として、網羅的な情報収集に続き、パッチ適用やアンチウイルス、ファイアウォールなどでの防御を上げながらも、特に大規模な組織では「それでも感染してしまう場合もある」とし、そういった場合に被害の局所化を図ることが重要とした。「被害が起こっても感染したマシンの参加するネットワークセグメントを切り離すなどして被害の拡大を抑えるとともに、感染によるパニックが起こらないよう事前の教育も不可欠」と語った。

 また同氏は情報漏えい対策についても触れ、その原因として内部犯罪、外部犯罪、ミスの3つを挙げた。対策としては、「防止策と抑止策のバランスが重要」とし、とくに限られた予算内で対策を行うために、「ポリシー策定や教育、ログ監査などの抑止策を有効に行って事前に防止することが大切」とした。



URL
  Security Solution 2003
  http://expo.nikkeibp.co.jp/secu-ex/
  日本電気株式会社
  http://www.nec.co.jp/


( 岩崎 宰守 )
2003/10/22 20:56

Enterprise Watch ホームページ
Copyright (c) 2003 Impress Corporation All rights reserved.