IDS/IPSアプライアンスの提案や検討に時間がかかり,疑似攻撃を開始した8月1日時点で機器の設置が完了していたのはソフィア総合研究所のみ。さくらインターネットは攻撃期間の後半となる8月6日,ライブドアは最終日の8月8日にようやく設置が完了した。アプライアンスを設置する前は,サーバーやネットワークの構成を変更しただけの状態である。この設置時期の違いが結果に影響することになった。

 以下,攻撃チーム側の様子を,eCURE 柿澤浩介氏(取締役 COO)へのヒアリングを基に構成した。

8月1日水曜日 ―攻撃初日―

 今日からオデッサ作戦を開始する。最初は「HACKER SAFE」(画面1)という自動診断ツールによってポート・スキャン,アプリケーションのステータス,サーバーのバージョンなど基本的な項目を診断する。まずはソフィア総合研究所から。今回は2台のサーバーを疑似攻撃の対象とすることにした。ソフィア総合研究所は7月中旬からアプライアンスを設置しているとのことだ。診断ツールの結果を見ると,ポート・スキャンができなくなっている。アプライアンスがうまく働いているのだろうか。

画面1●今回の検証実験で使用した「HACKER SAFE」の画面
画面1●今回の検証実験で使用した「HACKER SAFE」の画面

8月2日木曜日 ―攻撃2日目―

 さくらインターネットに対し,ポート・スキャンとアプリケーションへのアクセス診断を実施する(自働診断)。今日の時点では,まだアプライアンスを設置していないと聞いている。そのせいか,ソフィア総合研究所に比べると,スキャンできるポートが多い。前回(ヤシマ作戦)と同じ脆弱性もいくつか見つかった。

8月3日金曜日 ―攻撃3日目―

 ライブドアに自働診断を実施。ライブドアも現段階でアプライアンスを設置していない。ポート・スキャンは可能であるが,DoS(Denial of Services:サービス拒否)攻撃を受ける可能性のあるApacheのバージョンは適正化されていた。ただ全体的には,前回とあまり変わらない印象だ。

8月6日月曜日 ―攻撃4日目―

 自動診断の結果を基に,ソフィア総合研究所のサーバーに対し手動で診断を行う。開いているポートのアプリケーションに脆弱性があるかどうかをチェックしたところ,脆弱性はまだ残っている。対応は難しかったようだ。しかし,汎用ネットワーク・サービスの脆弱性は対策されているなど,かなりの項目が改善されている。

8月7日火曜日 ―攻撃5日目―

 自動診断の結果を基に,さくらインターネットを追加診断する。ヤシマ作戦のときに発見された脆弱性の多くは対策されていなかった。ほとんどが低危険度の項目だが,中危険度の脆弱性が2~3個残ったままである。また,前回とは別のサーバーを診断しているからか,以前発見されなかった脆弱性も見つかった。ただし,危険度は低い。脆弱性の項目数だけを見れば増えているが,多くはあまり問題にはならないものだ。システムの脆弱性に変化は無いという感触である。

8月8日水曜日 ―攻撃6日目―

 自動診断の結果を基にライブドアを追加診断したところ,危険度の高い脆弱性が見つかった。ログイン情報が暗号化されていないという脆弱性だ。これは,ヤシマ作戦では発見されなかったもの。脆弱性項目はほかの2社と比べると以前から少ないが,前回と比べると改善されている感じはしない。

攻撃を知らずしてIDS/IPSは検証できず

伊勢 幸一 (いせ こういち)ライブドア 執行役員 ネットワーク事業部技術担当
伊勢 幸一 (いせ こういち)
ライブドア 執行役員 ネットワーク事業部技術担当

 今回,なぜこのような検証実験をやることになったのか。それはデータセンター事業者である我々がセキュリティ製品を検証する難しさを感じていたからだ。きっかけは,ライブドアがIDS/IPS製品の検証依頼を受けたことである。

 製品をシステム内に設置したが,一通りの操作方法を確認しただけで終わってしまった。データセンターのシステム運用担当者は防御することに長けてはいるが,攻撃に対しては無知に等しい。セキュリティ攻撃を行うツールなどを常備しているはずもない。IDS/IPSを検証するにはどのような攻撃を実行すればよいのか,そもそもどのような攻撃手法が悪質なのか,という発想が無いため, IDS/IPSをきちんと検証できない。そこで,同じ問題を抱えるデータセンター事業者が集まり,脆弱性診断のサービス会社に疑似攻撃を実行してもらうことにしたのである。