セキュリティ・ベンダーであるラックは2月20日,同社のハニーポット・システム「Sombria」で得られた情報を集計して公開した。今回公開した情報は,2003年8月から10月までの集計結果に基づいている。それによると,OpenSSLのセキュリティ・ホールが最も多く侵入に利用され,全体の40%を占めた。また,侵入後の行動を解析した結果,他のマシンへ攻撃するため,すなわち“踏み台”として利用するために侵入しているケースが最も多いという。
「ハニーポット」とは,攻撃者を誘いこむ“ワナ”のこと。インターネット上に侵入可能なおとりのマシン(サーバー)を設置して攻撃者を誘い込み,相手に気付かれないように攻撃手法などを監視する。現在“流行っている”手法や攻撃者の動機などを知り,対策に役立てることが目的である。
同社では2003年5月からSombriaを稼働させている。5月から7月までの集計結果は2003年9月に公開している。SombriaはWebサーバー,ファイアウオールおよびIDS(侵入検知システム)の3台から構成され,都内某所に設置されているという。攻撃者を誘い込むのがWebサーバーで,攻撃者によるスキャンなどはIDSで検知する。侵入を許したWebサーバーから他マシンへの攻撃はファイアウオールで防ぐので,実際に踏み台として利用されることはない。
今回公開された8月から10月までの集計結果によると,侵入に最も使われたのはOpenSSLのセキュリティ・ホールで,次いで「SSH」(26%),「Samba」(23%)のセキュリティ・ホールが使われた。5月から7月までは,Samba(42%),OpenSSL(29%),SSH(18%)の順に多かった。OpenSSLを使っている公開用Webサーバー(特にApacheサーバー)の管理者は,現在使用しているOpenSSLにセキュリティ・ホールがないことを改めて確認しておきたい。
Webサーバー・マシンのログなどから,攻撃者が侵入した後の行動を解析した結果,46%が踏み台として利用するために,30%がシステムを破壊するために侵入したと考えられるという。
今回公開された情報には,2003年8月に出現した「Blaster」の攻撃状況もまとめられている。8月から10月までの間,平均すると1日に2000回以上,Blasterからのものと思われるアクセスがあったという。
同情報には,Webサーバーへの侵入に成功した攻撃者の行動履歴も詳しく書かれている。攻撃者の行動を知る上で参考になるので,管理者は目を通しておくとよいだろう。
◎参考資料
◆「Sombria」
◆「A Witness To Potential Cyber Crimes: サイバー犯罪の目撃者」(PDFファイル)
◆「A Walk Through "Sombria": 侵入者の行動観察システム」(PDFファイル)
(勝村 幸博=IT Pro)
