Windows TIPS

［Security］

→ Windows TIPS TOPへ → Windows TIPS全リストへ 不正アクセスを検知するパフォーマンス・モニタ・カウンタ デジタルアドバンテージ 2004/06/26 　 対象OS Windows 2000 Professional Windows XP Professional Windows 2000 Server Windows 2000 Advanced Server Windows Server 2003

■ 遊び半分の愉快犯ではなく、甚大な経済被害をもたらす不正侵入や破壊活動、情報窃取などをもくろむ犯人は、最もリスクが小さく、大きな成果（破壊による被害の大きさや、窃取する情報の価値）が得られる侵入方法を事前に入念に調査する。 ■ この際には、ログオン・エラーやアクセス違反など、通常ではそれほど発生しない不正アクセスが大量に発生する可能性が高い。 ■ Windows標準ツールであるパフォーマンス・モニタを使って、コストゼロでこれらの不正アクセスを監視することができる。

　

解説

　ネットワークを悪用したコンピュータの不正アクセスは、管理者の大きな不安材料の1つである。愉快犯的なサービス拒否攻撃程度ならそれほど影響はないが、万一ネットワークへの不正侵入を許し、システム破壊や情報漏えいにつながったりすると、企業の信用は地に落ちかねない。

　実際の破壊行動や情報窃取に至るまでに、攻撃者は標的としたシステムを念入りに調べ、窃取するファイルの吟味や不正アクセスの証拠隠滅準備を着々と進めるものだ。ネットワーク管理者としては、こうした不正アクセスによる異常を早期に検知できれば、深刻な情報漏えいやシステム破壊などを未然に阻止できる可能性が高まる。

　こうした目的に使える不正アクセス検出ツールは、すでにさまざまな市販製品が販売されているが、Windowsに標準で添付されているパフォーマンス・モニタを利用すれば、制限的ながら一定レベルの不正アクセス検知をコスト・ゼロで実施することができる。ここでは、Windowsサーバ（ファイル・サーバやドメイン・コントローラ、リモート・アクセス・サーバなど）とWebサーバ（IIS）への不正アクセスを想定し、これらを検知するために注目すべきパフォーマンス・モニタのカウンタをまとめる。

カウンタ	意味と不正アクセスの検出
Serverオブジェクト
Errors Access Permissions	アクセス権限のないファイルに対する不正なアクセスが試行された回数が記録されるカウンタ。不正侵入や情報漏えいの準備として実行された不正なファイル・アクセスの試行回数をチェックできる
Errors Granted Access	読み取りアクセスだけが許可されたファイルに対して、書き込みや削除の操作を行った回数が記録されるカウンタ。不正アクセスの証拠隠滅（ログの消去）準備などが行われたときに数値が上がる
Errors Logon	ログオンに失敗した回数が記録されるカウンタ。攻撃者がパスワードを調べるためにブルートフォース攻撃などを実施すると、急激に数値が上がる
IPオブジェクト
Datagrams Received Header Errors	不正なIPヘッダ（チェックサム・エラー、フォーマット・エラー、バージョンの不一致、タイムアウト、期限切れTTL、不正なIPオプションなど）を含むパケットの処理が記録されるカウンタ。ルータなどのネットワーク機器エラー、サービス拒否攻撃（DoS攻撃）などを検知できる可能性がある
Datagrams Received Unknown Protocol	受信したIPパケットのプロトコルが不正だった場合に記録されるカウンタ。ルータなどのネットワーク機器エラー、サービス拒否攻撃などを検知できる可能性がある
Windowsサーバの不正アクセス検出用カウンタ

　

カウンタ	意味と不正アクセスの検出
Active Server Pagesオブジェクト
Request Failed Total	サービス開始以後、Active Server Pageに対するリクエストで発生したエラーの数を記録するカウンタ。大量の不正なリクエストがWebサーバに対して送信されていることを検知可能
Request Queued	サーバの処理件数を超えたリクエストがキューイングされた個数。サービス拒否攻撃（DoS攻撃）などを受けると、カウンタが上がる
Web Serviceオブジェクト
Total Copy Requests／Total Delete Requests	サービス開始以後、HTTP 1.1拡張メソッド（COPY／DELETEメソッド）を使用するHTTPリクエストの数を記録するカウンタ。HTTP 1.1拡張メソッドを悪用した改ざんを検知できる可能性
Total Head Requests	サービス開始以後、HEADメソッドを使用するHTTPリクエストの数を記録するカウンタ。攻撃者がターゲットWebサーバの種類などを調べるときに送信する可能性がある
Logon Attempts/sec	WWWサービスへのログオン（ユーザー認証）が1秒間に何回試行されたかを記録するカウンタ。ブルートフォース攻撃などを検出できる可能性がある
Windowsサーバの不正アクセス検出用カウンタ

　次の画面は、実際にパフォーマンス・モニタを実行して、上記のカウンタを監視対象として設定してみたところだ。パフォーマンス・モニタはコントロール・パネルの［管理ツールフォルダ］−［パフォーマンス］アイテムから起動できる。

　画面から分かるとおり、パフォーマンス・モニタでは、ローカル・コンピュータだけでなく、リモート・コンピュータのカウンタを監視できる（画面では、DAPC70というローカル・コンピュータと、Server01というリモート・サーバを監視している）。またパフォーマンス・モニタでは、カウンタ値が一定のしきい値を超えたときに外部コマンドを実行することも可能である。

パフォーマンス・モニタでパラメータの監視を実行しているところ

ローカル・コンピュータだけでなく、リモート・コンピュータのカウンタ値を確認することもできる。また一定のしきい値を超えたときにコマンドを実行させることも可能だ。

　

この記事と関連性の高い別のWindows TIPS Windowsサーバへの不正アクセスを検知するためのパフォーマンス・モニタ・オブジェクト パフォーマンス・モニタの使い方（基本編） typeperfコマンドでシステムのパフォーマンス・カウンタのデータを収集する VistaのReadyBoostの動作状態をモニタする 収集したカウンタ・データをパフォーマンス・モニタで表示させる このリストは、（株）デジタルアドバンテージが開発した 自動関連記事探索システム Jigsaw（ジグソー） により自動抽出したものです。 generated by

「Windows TIPS」

＠ITメールマガジン　新着情報やスタッフのコラムがメールで届きます（無料）