クライアントが狙われる――受動的攻撃を見抜くインシデントの見抜きかた(2)(1/3 ページ)

第1回ではクロスサイトスクリプティングやSQLインジェクションなど、Webサーバへの攻撃を見抜く方法を解説しました。しかし狙われているのはサーバだけではありません。今回はクライアントを攻撃対象とする「受動的攻撃」を見抜くためのスキルを解説します(編集部)

» 2007年08月31日 10時00分 公開
[海老根猛@IT]

※ご注意


他社および他組織のWebサイトなどへのポートスキャンおよびデータの取得などの行為で得た情報を侵入などに悪用するか、または同じ目的を持つ第三者に提供した時点で違法となります。ご注意ください。


本稿の内容を検証する場合は、必ず影響を及ぼさない限られた環境下で行って下さい。


また、本稿を利用した行為による問題に関しましては、筆者およびアイティメディア株式会社は一切責任を負いかねます。ご了承ください。


受動的攻撃――影響を受けるのはクライアント

 今回は、ここ数年で大きな脅威となっているWeb通信における受動的攻撃に焦点を当てる。前回紹介したSQLインジェクションやクロスサイトスクリプティングと同様にWeb関連の攻撃ではあるが、今回の例ではクライアント側が影響を受けるという点が大きな特徴である。

図1 クライアント側が影響を受ける受動的攻撃 図1 クライアント側が影響を受ける受動的攻撃

 まず、図のとおり、攻撃の向きに違いがあり、今回紹介する攻撃は「通信の向き」と「攻撃の向き」が逆転している。

 攻撃の発生するタイミングにも違いがある。今回は、攻撃者側であるサーバは通信を常に待ち受けているだけであり、実際の攻撃はクライアントのアクションにより発生する。

 このように、何らかの悪意を持つサーバ、ソフトウェア、データなどが常に待ち受け状態にあり、影響を受ける側のアクション(通信の開始、ソフトウェアの起動、ファイルオープンなど)によって引き起こされる攻撃を「受動的攻撃」と呼ぶ。

仕掛けへ誘導する巧みな手法

 Web通信における受動的攻撃では、Webサーバ側(主にコンテンツ部)に何かしらの悪意を持つ仕掛けが組み込まれており、クライアント(利用者)はさまざまな方法で、その仕掛けに誘導される。

 誘導の方法としては、Web掲示板の書き込み、JavaScriptやIMGタグ、IFRAMEタグなどを利用した強制的なHTTPアクセスなどがある。特に、IFRAMEタグを利用した誘導が最近多く見られるようである。

 また利用者を欺き、利用者の意思で悪意あるサイトへ誘導するフィッシングも一例である。例としてはカード会社などのメールを偽り、不正なURLをクリックさせるというものだ。近年は偽メールの文章も巧みになってきており、一目では分からないものもある。

受動的攻撃は大きな脅威になりつつある

 近年、Web環境の表現性、操作性を中心に機能の向上には目覚しいものがあり、専用アプリケーションに迫る勢いである。Webブラウザも単なるソフトウェアであり、さまざまな機能を実現するためには肥大化、複雑化は避けられない。そうなると、ほかのソフトウェアの例にもれず、バグ、つまり脆弱性が入り込む余地が多くなる。

 Webの普及と併せて考えると、Webブラウザの脆弱性を悪用する受動的攻撃が後を絶たないことは驚くに値しない。Webが発展する限り、当分はこのような状況が続くと思われる。

 また、受動的攻撃は基本的にログとして残る場合がまれであるという点に注意しなくてはならない。ログがなければ、最適な判断を下すための分析作業は困難を極める。

「ファイアウォールがあれば安心」は通用しない

 「組織の内部ネットワークはファイアウォールにより保護されている」と考えることは、特に間違ってはいない。しかし、この受動的攻撃に関しては通用しない。

 通常ファイアウォールでは、内部のクライアント(またはHTTPプロキシ)から外部に向けたWeb通信は許可するはずである。従ってWebクライアントは安全であるはずの内部ネットワークに配置されているにもかかわらず、脅威にさらされているのである。もちろんWeb通信をすべて制限してしまえば脅威はほぼなくなるが、おそらくそういったポリシーを適用できる組織はごくまれであろう。

 また、その先に起こり得る被害のことを考えてみると、サーバ、クライアントのどちらも重要な情報が格納されていることには変わりはないが、クライアント側にはおそらく、プライベートな情報や、顧客情報、組織の機密情報が保管されていたり、それらの情報にアクセスできるように設定されている場合が多い。それらの情報が攻撃のターゲットになると思うとぞっとする。

受動的攻撃の分析、判断のポイント

 当然ながら、ここまで説明したWebにおける受動的攻撃に対して、ただ傍観するわけにはいかない。おそらく、それぞれの組織においてアンチウイルスソフトやコンテンツフィルタなど、さまざまな対策が実施されていることと推測する。

 セキュリティに「完全」はない、とすでに使い古されたメッセージはいまでも存在しており、今後もより効果的な新しいソリューションの出現を期待するところではある。しかし、受動的攻撃への対応策の1つにインシデントハンドリングを加えることで、より安全性を高め、仮に影響を受けた場合でも、迅速な対応により被害を最小限に食い止めることができる。

 具体的な分析、判断場面においては、HTTPレスポンスの通信に着目することになる。受動的攻撃に限らずIDS/IPSは日々進化する攻撃のすべてに対応できるものではないが、攻撃を分析するためにはとても有効だ。それは、攻撃の形を知ることができるからである。

 攻撃の形を知ることができれば、その後の対応をより高い精度で行えるだろう。

Index

クライアントが狙われる――受動的攻撃を見抜く

Page1

受動的攻撃――影響を受けるのはクライアント

仕掛けへ誘導する巧みな手法

受動的攻撃は大きな脅威になりつつある

「ファイアウォールがあれば安心」は通用しない

受動的攻撃の分析、判断のポイント


Page2

アニメーションカーソル脆弱性を利用した攻撃パターンの例

JavaScriptを利用した攻撃パターンの例

ヘルプファイルの脆弱性を利用した攻撃パターンの例


Page3

何が起きたのかよりも「起きてしまったのか?」を判断する

では、どう対策するか?


       1|2|3 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

@IT

@ITについて

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。