SIMを上手に使いこなす[後編]
不審な通信や無許可ホストを見逃さない
二木 真明住商情報システム株式会社
セキュリティソリューション事業部
事業部長補佐(技術担当)
CISSP
2005/11/11
実行形式ファイルのダウンロードを発見する
ウイルス感染は、メール以外にもWebサイトから不正なスクリプトや実行形式ファイルをダウンロードして実行した(もしくは、させられた)場合に発生することも多い。前編で紹介したファイアウォールのURLログを使って、特定の実行形式拡張子を持つファイルへのアクセスを検出するパネル3「実行形式ダウンロード」を作ってみた。
現在のところ、Windows Updateなども検出してしまい、あまり役に立ってはいない。今後、実行形式ダウンロード直後にワーム検知ルールに引っ掛かるようなケースの優先順位を高くするといった処理に使うことを考えている。
 |
| パネル3 実行形式ダウンロード |
NATを使って複数ホストを接続
筆者の事業所では、IPアドレスをユーザーに対応させて管理しており、ウイルス感染などが発生した場合、迅速に対応ができるようになっている。だが、時折、密かにファイアウォールやルータを接続し、NAT処理したうえで、1つのIPアドレスを複数のホストで使用するやからがいる。
社内規定的には届け出れば許可されるのに、往々にして無届けで、インシデント対応の際に問題となることもあった。こうしたNATを使っていそうなホストを見つけ出せないかと考えて作ったのが、このパネル4「NAT使用の可能性があるホスト」だ。仕組みは簡単で、HTTPアクセス時に発信元のポート番号が32768以上のホストのみを表示するような仕掛けだ。
一般にWindows PCの発信元ポートは1024から使い始めるため低い値となる。一方、ファイアウォールやルータなどのNAT(正確にはNAPTまたはIPマスカレード)では、割り当てるポート番号の始点が大きな番号であることが多く、またその特性から背後にあるホスト数が多いほどポート番号の消費が大きいため、大きなポート番号を使用することになる。
従って、32768以上の値を使用しているホストはかなりの確率でNATやProxyを動作させていると考えられるのである。少なくとも通常のPCである可能性は低く、無届けで特殊な機器を接続している可能性が極めて高い。単純ながらこのパネルは重宝している。
 |
| パネル4 NAT使用の可能性があるホスト |
自社専用定点観測データを活用せよ
最後に、ファイアウォールが外部からの通信を拒否している状況と、その推移を監視するためのパネル(パネル5)を紹介する。いわゆる定点観測サイトでよく提供されているようなものだが、自社のファイアウォールがさらされている状況がどのようなものか、またどう変化しているかを常に意識しておくことは重要だ。
時々、特定のポートへのスキャンが急増し、直後にそのサービスを狙ったワームがまん延するようなこともある。定点観測サイトなどの情報と、自分のサイトの情報を突き合わせて分析することは、セキュリティ管理者にとって意味がある。特に、インターネットへの出口を複数有しているような規模の大きな組織では、それぞれの状況を比較してみると、地域的な偏りや普遍性が分かるなど、興味深い結果が得られることが多い。
また、監視サービスサイトでSIMを運用している場合は、定点観測情報をユーザーに提供するための道具にもなる。
 |
| パネル5 外部からの通信拒否の推移ビューワ |
さて、今回紹介した利用例は、SIMのごく一部の機能を使ったにすぎない。実際の導入では、もっとさまざまな使い方を環境や運用方法に即した形で実装できる。これがSIMの最大のメリットだ。
SIMは導入しただけでは、うまく働かない。実際の運用を行いながら、少しずつ運用に合わせて必要な機能を組み込んだり改良したりしていく。運用により進化する監視プラットホーム、それがSIMなのだ。
おそらくこの記事が出るころには、筆者のサイトでのSIM利用もさらに進化しているだろう。また機会があればそれらも紹介したいと思う。
| 【編集部より】 本記事は、管理者による過度のモニタリングを推奨するものではありません。従業員を対象としたモニタリングについては、個人情報保護の観点から労働組合などと必要に応じて協議し、取り決め事項を従業員に周知することが望ましいとされています(厚生労働省告示第259号「雇用管理に関する個人情報の適正な取扱いを確保するために事業者が講ずべき措置に関する指針」)。 以下は、経済産業省による「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」からの抜粋です。
|
 |
2/2
|
| Index | |
| 不審な通信や無許可ホストを見逃さない | |
| Page1 不審な通信の監視 一般的に使われないポートを使う通信の洗い出し 80番ポートを使っているのにWebアクセスでない通信 |
|
 |
Page2 実行形式ファイルのダウンロードを発見する NATを使って複数ホストを接続 自社専用定点観測データを活用せよ |
| セキュリティ情報マネジメント概論 | |
| SIMで企業のセキュリティを統合管理せよ | |
| セキュリティ情報マネジメントの仕組みを技術的に理解する(1) | |
| セキュリティ情報マネジメントの仕組みを技術的に理解する(2) | |
| SIMを上手に使いこなす | |
| 業務中にSkypeやIMを使っているのは誰だ? | |
| 不審な通信や無許可ホストを見逃さない | |
 |
業務中にSkypeやIMを使っているのは誰だ? |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
