セキュリティ・ベンダーである米Internet Security Systems(ISS)は米国時間3月14日,侵入検知システム(IDS)*1 を事実上無効にするツールについて警告した。

 「Stick」と呼ばれるこのツールは,攻撃に見せかけたパケットを多数送信し,ターゲットとしたネットワークのIDSに頻繁に警告を発生させる。その結果,管理者がどの警告が本当の攻撃によるものなのか見分けることができなくなり,IDSの効果がなくなってしまうというもの。また,攻撃に見せかけたパケットの量がIDSの処理能力を超えれば,IDSはDoS(Denial of Service,サービス妨害)状態に陥る。

 警告の中で挙げられている参考文献によると,Stickによる攻撃を受けると2秒間に450を超える警告が発せられるという。IDSのセンサーを動作させているマシンのCPU使用率は100%に達し,センサーを停止することさえできなくなる。

 Stickが送信するパケットの種類はランダムに選択される。また,送信元のIPアドレスもランダムに選択して偽造する。そのため,攻撃の種類でフィルタリングしたり,パケットから攻撃元を突き止めることは難しい。

 Stickによって,現在利用されているIDSの多くが影響を受ける。ISSの製品も例外ではなく,同社の製品では「RealSecure Network Sensor 5.0」のWindows NT/2000版が影響を受けるという。対策として同社は,パッチと新しいシグネチャ *1 を米国時間3月15日に公開する予定である。

 今回の警告は,まず最初に同社のメーリング・リストで配布された。現時点(日本時間3月15日午後6時現在)では,同社Webページには掲載されていないが,近日中に公開されるものと予想される。

【3月16日追記】ISSは同社Webサイトに警告を掲載した(「"Stick"- A Potential Denial of Service Against IDS Systems」)。また,パッチは「Service Release 1.1 for RealSecure Network Sensor」の一部分として既に提供されている。新しいシグネチャを含む「X-Press Update MU 2.2」は,米国時間3月15日に同社Webサイトで公開される予定である。

*1 ネットワークやホストへの攻撃をリアルタイムで検知するツール。「シグネチャ」と呼ばれる攻撃手法をまとめたデータベースと比較して,攻撃かどうかを判断する。また,通常の運用状態を学習させておき,それから逸脱したものを攻撃として検知する方法もある。攻撃を検知すると,管理者に警告を発したり,ファイアウオールなどと連携して,アクセスを遮断したりする([関連記事])。

(勝村 幸博=IT Pro編集)