前回 はセンサーの仕掛け方と、トラフィック情報からわかることを解説しました。今回は、攻撃検知データを可視化していきます。

攻撃の可視化と分析

IPS/IDSの攻撃検知データには、「検知日時」「攻撃名やシグネチャID」「攻撃元IP」「攻撃対象IP」「攻撃リスク」「検知回数」のような項目が含まれています。

簡単に出せるレポートとして、「検知数が多かった攻撃名TOP10」「リスク高の攻撃対象IP一覧」「公開サーバIPを対象とした攻撃一覧」などがありますが、今回は検知データを少し加工して可視化してみましょう。

(キヤノンITソリューションズ調べ)

検知データの攻撃元IP(グローバル)アドレスから、MaxMind社のオープンソースデータIP位置情報GeoLite2で得られた緯度経度をGoogleMap上にプロットしたものです。円の大きさは攻撃数を示しています。

こうしてみると思いもよらぬ国からパケットが飛んで来ていて、あらためてインターネットが世界と繋がっていることを実感させられます。

グローバルIPがわかると、whoisを使ってドメイン登録している組織名、住所、管理者メールアドレスなども得られます。しかし攻撃者は、すぐに足がつかないように踏み台、遠隔操作、ボットネットなどを操ると考えられ、残念ながらプロバイダの住所しかわからないケースがほとんどです。

(キヤノンITソリューションズ調べ)

検知データの攻撃シグネチャから、攻撃で使用されたポート番号ごとの件数を時系列にプロットしたものです。TELNETやRDP(リモートデスクトップ)など、遠隔操作を狙った攻撃が一定量発生していることがわかります。今回はFW外側にセンサーを設置したため、実際にはFW遮断により社内に到達していないものも可視化されていますが、あらためてFW設定を確認しておくほうがよさそうです。

いちばん件数が多いHTTPは、自社公開サーバの脆弱性を狙った攻撃(外部からのRequest)や、社内ユーザが攻撃者サイトに誘導された場合(内部からのRequestに対するResponse)が含まれていますので、データをさらに攻撃対象IPで絞り込むなどして調査を進めることになります。

攻撃検知データの読み方

IPS/IDSはシグネチャ等で攻撃通信を検知しますが、少なからず誤検知も発生します。正常な通信を攻撃と判断してしまうフォールスポジティブ(FP)と、攻撃を正常として見逃してしまうフォールスネガティブ(FN)がありますが、検知率を向上させようとするとこれらも高くなってしまうジレンマがあります。

もちろんチューニングにより誤検知を緩和できるのですが、運用の手間がかかる上に、ユーザ側で「止めるか止めないか」といった難しい判断をしなければなりません。また、MSS(マネージド・セキュリティ・サービス)などを利用すれば、継続的なチューニングをプロにお任せできますが、それなりに投資が必要です。

そこで、少々FNが高くてもFPが低い製品がお勧めです。FPが増えるとログ件数がいたずらに大きくなって扱いづらくなるだけでなく、「本当の攻撃」を探し出さなければ対策もできなくなり、本末転倒になります。シグネチャ設定が「検知」のみの機種よりも、デフォルト「遮断」のシグネチャ数が多い機種、メーカが自信をもって止めてくれる製品がよいでしょう。

攻撃者は身元が分からないように工夫を凝らしています。クラウドを使って世界中に攻撃サーバを配置し、1つのグローバルIPに100以上の異なるドメイン名を割り当て、10分単位で切り替えるなどして調査を困難にしています。検知データの攻撃元IPに紐付くドメイン(またはドメインに紐付くIP)は、検知時点と調査時点で同じだという保証がないことを理解しておかなければなりません。

そこで、攻撃時点のDNS情報を得ることができるパッシブDNSを利用します。パッシブDNSはDNSサーバ間のやり取りなどを収集蓄積し、IPとドメインの変更履歴を保持しています。このデータを使うと、検知時点の正確なドメイン情報が得られるほか、IPや管理者から類推されるほかの攻撃サーバなど、攻撃者の手がかりへ調査を掘り下げていくことができます。

標的型攻撃においては、攻撃者から感染PCへの通信(外から内)はFWで遮断されているため、感染PCから攻撃者のC2サーバへ定期的にWebアクセスさせ、そのレスポンスで攻撃指令を渡すという方法が使われます。このC2通信はWebアクセスだけでなく、DNSやntpなど、通常FWで開けられているポートを悪用するケースも出てきています。

このような攻撃は、正常な通信に紛れ込んで目立たない工夫がなされており、IPS/IDSだけでは見つけることが大変難しく、サーバやネットワーク機器のログを総合的に分析する仕組みやノウハウが必要となります。

攻撃検知データと他の情報と組み合わせて調べることで、さらに多くのことが分かります。そのためには、精度の高い検知データを収集することが大切です。

まとめ

インターネットは世界に繋がっており、常に攻撃の危険に晒されています。社内ネットワークとインターネットの境界にセンサーを設置することで、これらを可視化する方法を解説しました。

トラフィックの情報やパケットの情報からは、通信内容の内訳、時間帯による変動を把握し、アノマリ検知や回線容量の適正配分などに有益な情報が得られることがわかりました。また、FW外側は常にさまざまな攻撃を受けているので、FW設定の再確認も重要です。

攻撃検知の情報は、IP位置情報、whoisやパッシブDNS、IPレピュテーションなどの情報と組み合わせることで多くの情報が得られる反面、誤検知しにくいセンサー選びも重要です。

次回は、社内のマルウェア感染の可視化を解説します。

著者紹介


石川 堤一 (いしかわ ていいち)
キヤノンITソリューションズ 基盤セキュリティ企画センター マルウェアラボ マネージャー シニアセキュリティリサーチャー

約20年に渡りESET製品をはじめとした海外製品のローカライズ業務に携わり数多くの日本語版製品を世に送り出す。また、ウイルス感染やスパム対策、フィッシング被害のサポート業務にも従事。

現在はこれまでの経験を活かして、国内で確認された新しい脅威に対するレポートや注意喚起などの啓蒙活動や、キヤノンITソリューションズ運営の、より安全なインターネット活用のためのセキュリティ情報を提供する「マルウェア情報局」の記事執筆をするほか、マルウェア解析サービスのマネージャーとしても活動中。