侵入検知システムの多くに，特定の攻撃を検知できない弱点が発覚

勝村幸博

2001.09.07

　セキュリティ・ベンダーである米Internet Security Systems（ISS）および米eEye Digital Security（eEye）は米国時間9月5日，いくつかの商用およびフリーの侵入検知システム（IDS）に弱点が存在することを明らかにした。マイクロソフトのWebサーバー・ソフト「Intenet Information Server/Services（IIS)」に対する，ある特定の攻撃を検知できない恐れがある。対策は，パッチの適用やバージョンアップである。

　なお，攻撃自体は既知のものなので，IDS が検知できなくても，IIS に適切な設定やパッチを施しておけば，不正アクセスを受けることはない。ただし，IDSによる監視が万全ではないと言う意味で，注意すべき問題である。

　ISS および eEye によれば，影響を受けることが確認されているのは以下のIDS である。

Cisco Secure Intrusion Detection System（旧 NetRanger, Sensor component)
Cisco Catalyst 6000 Intrusion Detection System Module
Dragon Sensor 4.x
ISS RealSecure Network Sensor（XPU 3.2 より前の 5.x および 6.x）
ISS RealSecure Server Sensor 5.5/6.0 for Windows
Snort バージョン 1.8.1 未満

　両社によると，これら以外の IDS の多くも同様の弱点があるとしているので，ベンダーなどに確認する必要がある。なお，「BlackICE」にはこの弱点は存在しない。

　弱点を持つ IDS が検知できないのは，Unicode（eEyeでは「%u エンコーディング」としている）でエンコードされた，URL リクエストによる攻撃である。IIS には，URL としてある特定のリクエストを送られると，サーバー上で任意のコマンドやコードを実行されてしまうセキュリティ・ホールが複数発見されている。

　このようなセキュリティ・ホールを突く攻撃を検知するために，IDS は送られてくるリクエストの中身をチェックする。ところが，URL リクエストが Unicode でエンコーディングされていると，適切に解釈（デコード）できず，チェックをすり抜けてしまうというのだ。

　eEye では，Code Red ワームの攻撃を例に挙げて説明している。Code Red は攻撃に URL リクエストを使用する。そのリクエストには，「.ida」という文字列が含まれることが特徴の1つである。そのため，IDS は「.ida」という文字列の有無で，Code Red による攻撃かどうかを判断しているとする。

　ここで仮に，攻撃リクエストが「himon.ida」だったとする。監視対象サイトを「www.victim.com」とすると，URL としては，

http://www.victim.com/himon.ida

Webサーバーが受け取る HTTP リクエストは，

GET /himon.ida HTTP/1.0

となる。

　このリクエストがそのまま送られた場合には，当然 IDS は検知できる。問題は，リクエストが Unicode でエンコードされた場合である。

例えば，リクエスト最後の「a」だけをエンコードして，

GET /himon.id%u0061 HTTP/1.0

とした場合，IDS は「himon.ida」と解釈できないために，攻撃とは認識しない。ところが，IIS がこのリクエストを受け取ると，「GET /himon.ida HTTP/1.0」と解釈して必要な処理を行う。その結果，セキュリティ・ホールをふさいでいない場合には，被害を受けることになる。

　問題は，UnicodeでエンコードされたURL（ASCII文字）を，IIS は解釈できるが，いくつかの IDS は解釈できないことにある。IDS がサポートしていない理由としては，URL のエンコード方式として通常使用されるのは，（1）UTF（「%xx%xx」の形式）あるいは（2）16進数（「%xx」の形式）であるからだ（「xx」はいずれも16進数）。

　対策はパッチの適用か，バージョンアップ。いくつかのベンダーは今回の弱点についての情報やパッチを公開しているので，以下の URL を参照してほしい。