【3/18〜】Amazon、VMwareが語る『クラウドの未来』 スラッシュドット    はてなブックマーク  Yahoo!ブックマークに登録  印刷

セキュリティアナリストコラム
川口洋のセキュリティ・プライベート・アイズ(1)

あの「SQLインジェクション」騒動の裏で(前編)


川口 洋
株式会社ラック
JSOCチーフエバンジェリスト兼セキュリティアナリスト
2008/4/4
毎日のように起きる脆弱性を突いた攻撃、それを守るための仕組みも多数のベンダにより提供されていますが、実際にその攻撃を検知し、どのように対処するかということは人間の手――セキュリティアナリストによって行われています。本連載ではそのセキュリティアナリストと呼ばれる人たちが、どのような考え方やマインドで仕事をしているのかを探るべく、技術とともに“人”にフォーカスしたコラムとして伝えていきます(編集部)

■「攻撃の波」をいち早く見つけることの意味

 はじめまして。今回からこのコラムを担当する、川口といいます。わたしが勤める株式会社ラックは、企業のITインフラをリスクから守るためのさまざまなセキュリティソリューションを提供しています。わたしの役割は、企業・団体などのITネットワークを守るセキュリティ監視運用センター“JSOC”(Japan Security Operation Center:ジェイソック)のセキュリティアナリストリーダーとして、日夜発生するインターネットの脅威と戦うことです。

 JSOCは、24時間365日お客さまのセキュリティセンサーを監視しており、セキュリティアナリストの役割は、それらのログやアラートから見えてくる、侵入や攻撃などの保安上の脅威となる問題(セキュリティインシデント)をいち早く発見して被害を未然に防ぐこととなります。本コラムでは、セキュリティアナリストという仕事から見えるセキュリティ防衛の最前線の世界について少しでも皆さんに感じてもらいたいと考えています。

■そのとき、事件は起こった

 3月12日にラックから「日本をターゲットとしたSQLインジェクションによるホームページ改ざん行為と、同行為により改ざんされたページへのアクセスによるマルウェア感染について」の注意喚起を出しました。これはあるIPアドレスから「SQLインジェクション」という手法で日本のホームページを狙って改ざんしようとする攻撃が急増したことをお伝えしたものです。コラム第1回はこの舞台裏を時系列に書きつづりながら、われわれセキュリティアナリストの仕事とその判断の裏側を垣間見ていただきたいと思います。

【関連記事】
 NewsInsight − @IT (2008年3月12日)
SQLインジェクション攻撃の波が再来、通常の70〜100倍に
http://www.atmarkit.co.jp/news/200803/12/sqlinjection.html

NewsInsight − @IT (2008年3月27日)
SQLインジェクション攻撃の波はまだ終わっていない
http://www.atmarkit.co.jp/news/200803/27/lac.html

 今回、注意喚起を行った攻撃はSQLインジェクションという手法で、Webアプリケーションの脆弱性を狙った攻撃手法の1つです。攻撃者はSQLインジェクションでホームページを改ざんし、悪意のあるホームページへのリンクを挿入します。いままで話題にされてきたSQLインジェクションはデータベースの情報をターゲットとして行われており、現在もJSOCで検知するSQLインジェクションの99.99%はデータベースの情報獲得を狙ったものです。

 しかし、今回の事件で行われたSQLインジェクションのターゲットは「ホームページを訪れるインターネット利用者」でした。攻撃者はホームページを改ざんし、自分の管理するホームページへの接続を狙っていました。改ざんされたホームページを訪れた利用者は、気付かないうちに悪意のあるホームページに接続され、マルウェアに感染してしまうのです。

■2008年3月11日(火)――ふとよぎる「嫌な予感」

 この「ホームページを訪れる利用者」を狙ったSQLインジェクションは、11日から始まり、あるIPアドレスから攻撃されていました。危険なインシデントが発生すると、JSOCで監視をしているセキュリティアナリストのメンバーからリーダーであるわたしに連絡が来ます。わたしが内容を確認し、許可を出した後、お客さまへの連絡が行われます。今回は、わたしへのSQLインジェクションの連絡回数がいつもより多かったことから、「何か嫌な予感がするな」と感じていました。これがあの大規模な攻撃の幕開けだったのです。

 11日の時点ではこのSQLインジェクションはデータベースの操作を試みているところまではつかんでいましたが、どのような操作が行われているか完全に把握できていませんでした。この後を守るセキュリティアナリストには、引き継ぎ事項として「データベースの操作が分かったら連絡をして。お客さまに緊急連絡が必要な“クリティカルレベル”にまで発展したらいつもどおりの速やかな対処で落ち着いてね!」と伝えて、この日の業務を終えました。

■2008年3月12日(水)――ターゲットは「日本」?!

 12日の朝、夜勤をしていたセキュリティアナリストから緊急の連絡がありました。「川口さん、SQLインジェクションで接続されるホームページが分かりました。しかも、日本のホームページをターゲットにしている可能性があります。すでに被害が出ているところもあります」とのこと。即、該当ホームページの調査を指示しました。日本のホームページでも被害が出始めており、注意喚起をする必要があることから、直ちに弊社のサイバーリスク総合研究所のメンバーに連絡。攻撃の状況を話し、緊急で注意喚起をリリースすることを決定しました。このとき「これはしばらく対応に追われる予感がするな」と考えておりました。

 緊急インシデントが発生しているお客さまへの電話と並行して、今日出勤しているセキュリティアナリスト全員で今回行われているSQLインジェクションの調査を行いました。

  • どこから攻撃が来ているのか?
  • この攻撃元は過去に攻撃をしたことはあるか?(JSOCのブラックリストに登録されているか?)
  • 攻撃はどのように行われているのか?
  • 接続されるホームページはどうなっているか?
  • どのようなマルウェアが仕込まれる可能性があるのか?

 これらの情報を調査しながら、サイバーリスク総合研究所のメンバーと情報を逐次共有していました。一般のセミナーやお客さまの前で話すことが多いわたしは、「これはセミナーなどで社会に啓発することで被害を未然に防ぐことができるのではないか」と考え、解析した結果や対応を時系列でまとめていました。どうせ対策を行うのであれば、それだけで終わってはいけません。インシデントが起きても、転んでもタダでは起きないのです。このまとめが後で生きました(これについては次回に触れることにします)。

 注意喚起に必要な情報は、「喚起したい内容」「現在の状況」「対処方法」です。特に「対処方法」は、一番多くのお問い合わせをいただくポイントとなりますので、毎回どのような情報をお伝えするべきなのか、とても悩みます。「情報が足りなければ、情報提供の意味をなさない」とはいえ、詳しい情報を調査、記載するような時間の余裕もない。注意喚起を作成、配信する間にもJSOCのお客さまに対するSQLインジェクションは行われています。

 今回のようなホームページを改ざんするSQLインジェクションは、先月までの平均より約100倍の数の攻撃が行われていました。早く注意喚起を出さなければ、被害が拡大してしまいます。わたしたちは「足りない情報は追加情報として後で配信しよう」と割り切り、まずJSOC監視サービスを提供するお客さまに対して、正午から注意喚起の配信を開始し、続いて弊社ホームページやニュースリリースなどを通じて、広く今回の注意喚起をいたしました。

 偶然にも今日3月12日はマイクロソフトの定例のセキュリティ情報が公開される日です。マイクロソフトから公開されるセキュリティ情報の確認と対応も行う必要があったのです。さらにマイクロソフトの発表に合わせてIDS(Intrusion Detection System:侵入検知装置)、IPS(Intrusion Prevention System:侵入防止装置)の各製品ベンダは新しいシグネチャを高い確率でリリースします。この新規シグネチャの調査、アップデートも行わなければいけません。これらの対応を行うためにセキュリティアナリストのリソースが逼迫(ひっぱく)してしまいます。「なんでこんな日に限って重なるんだ」と嘆いても始まりません。マイクロソフト関係の対応は別のセキュリティアナリストに任せ、わたしは今日のSQLインジェクションの対応に専念しました。

 今日1日でお客さまに連絡した数は通常の5倍。お客さまとの連絡に対応していたセキュリティアナリストは検知→分析→連絡→記録→検知の繰り返しに追われていました。その対応に追われる中で、悪意のあるホームページの調査も行いました。幸いだったのはこの手の調査に慣れているセキュリティアナリストの多くが今日のシフトに組み込まれていたことです。てんやわんやになりつつも、メンバーたちは今日の仕事を終えて帰って行きました。

 あるセキュリティアナリストが、「今日はホント大変でした。こんなに大変だったのはチームに入りたてのころ以来です。今夜も荒れそうですね」とつぶやいて帰って行きました。「荒れないでくれ」というのが筆者の切なる願いだったのですが……。続きは後編へ。

川口洋のセキュリティ・プライベート・アイズ バックナンバー

Profile
川口 洋(かわぐち ひろし)
株式会社ラック
JSOCチーフエバンジェリスト兼セキュリティアナリスト

 ラック入社後、IDSやファイアウォールなどの運用・管理業務を経て、セキュリティアナリストとして、JSOC監視サービスに従事し、日々セキュリティインシデントに対応。

アナリストリーダとして、セキュリティイベントの分析とともに、IDS/IPSに適用するJSOCオリジナルシグネチャ(JSIG)の作成、チューニングを実施し、監視サービスの技術面のコントロールを行う。

現在、JSOCチーフエバンジェリスト兼セキュリティアナリストとして、JSOC全体の技術面をコントロールし、監視報告会、セミナー講師など対外的な活動も行う。

川口洋のセキュリティ・プライベート・アイズ 連載インデックス

ホワイトペーパーTechTargetジャパン

Security&Trust フォーラム 新着記事

@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

RSSフィード

@IT 新着記事

スキルアップ/キャリアアップ(JOB@IT)

- PR -
@IT Special -PR-
「いつかは壊れるサーバ」そんな故障に
迅速で安価に手軽に対応する方法とは?
New!
「特権ユーザー」の事件を防げ!
万能権限を持つユーザーの管理方法とは?
New!
仮想環境の構築とデータ保護の特効薬?!
実績と信頼性の高いパッケージで安心運用
仮想環境のバックアップもこれまでどおり
「まるごと取ってまるごと戻す」簡単運用
おばかアプリ選手権、第4弾開催中!!
ムダにカッコよくてくだらない作品求ム!
社内ファイルサーバを“クラウド”に統合
VPN直結「クラウド型ストレージ」を紹介
その数、なんと400台以上! グループ内
サーバの「統合管理」によるメリットは?
美人!? まあまあ? 気になる いやし系!!
PV急増で「美人時計」がとった手段とは?
進化を続ける富士通ストレージETERNUS DX
製品開発者の自信を裏付けるものとは何か
運用管理の課題を“2つの観点”から分析
ユーザー満足度の高い「仮想環境」とは?

→@IT Special ヘ

- PR -

お勧め求人情報

キャリアアップ 〜JOB@IT
@IT Special -PR-
  TomcatやJBossなどAPサーバ環境に関する
情報を集約! “業務”用APサーバ大百科
New!
  一気に解説! 最新のクラスタストレージ
「RAIDを超えたストレージ基準」……など
New!
  クラウド的ユーザー体験の変化は脅威か?
仮想化技術を使いこなす運用管理術を紹介
New!

  上司や部下、部署内メンバーとの情報共有
を“ガラッ”と変えるコラボツールとは?
New!
  おばかアプリ選手権、第4弾開催中!!
ムダにカッコよくてくだらない作品求ム!
  社内ファイルサーバを“クラウド”に統合
VPN直結「クラウド型ストレージ」を紹介

  Twitterのアカウントはなぜ突破された?
メールによる新手の攻撃手法とその対策
  もう仮想化のお試しフェイズは終わりだ!
Hyper-V 2.0が基幹システムも仮想化
  美人!? まあまあ? 気になる いやし系!!
PV急増で「美人時計」がとった手段とは?

  クライアント企業から求められる人材
⇒IT技術と経営戦略を併せ持つ「戦略家」
  .NET編集長が実践する「技術情報検索術」
サンプル・コードを簡単に探す“技”は?
  業務効率と情報セキュリティ対策を両立!
手間なく確実に機密情報を守る方法とは?

  進化を続ける富士通ストレージETERNUS DX
製品開発者の自信を裏付けるものとは何か
  運用管理の課題を“2つの観点”から分析
ユーザー満足度の高い「仮想環境」とは?

  【CTC事例】約30の基幹システムを統合!
膨大なバッジジョブを制御した方法は?
  仮想化すればコストは削減できるか?
仮想化に必要な「3つの視点」を解説する
  その数、なんと400台以上! グループ内
サーバの「統合管理」によるメリットは?

→@IT Special ヘ