• BPnet
  • ビジネス
  • IT
  • テクノロジー
  • 医療
  • 建設・不動産
  • TRENDY
  • WOMAN
  • ショッピング
  • 転職
  • ナショジオ
  • 日経電子版
  • PR

  • PR

  • PR

  • PR

  • PR

今週のSecurity Check

HTTPに“隠された”プロトコルの危険性を認識する

若居和直 2002/09/16 ITpro

 現在,インターネット上で最も利用されているプロトコルはHTTP(Hypertext Transfer Protocol)だろう。それだけに,外部とのHTTP通信を許可している組織は多い。プロキシ・サーバーを経由させる,あるいはさせないなどの差異があっても,ファイアウオールではHTTPを通す設定にしているだろう。そのため,HTTPを下位プロトコルとして利用するプロトコルが増えている。ファイアウオールを通すためだ。HTTPは,今やWWWのためだけのプロトコルではないのだ。それに伴い,HTTPが攻撃に悪用される可能性も増加している。

 HTTPが不正アクセスに利用される可能性は以前からあった(関連記事)。現在ではHTTPを利用するプロトコルが増えたために,その可能性がより高まっているのだ。そこで今回のコラムでは,HTTPを利用するプロトコルについて説明するとともに,その“隠れた”危険性を解説する。

HTTPを利用するプロトコル

 まず,HTTPを下位プロトコルとして利用するプロトコル(通信)の例をいくつか挙げてみよう。

 以上のうち,WebDAVはHTTPの拡張であるため,HTTPを利用することが前提となるが,SOAPなどはHTTP以外のプロトコルも下位プロトコルとして利用可能だ。

 また,HTTPを“トンネル”として利用すれば,任意のプロトコルをHTTPとしてファイアウオールを通過させることが可能となる。そのためのソフトウエアとしては,以下の2つが有名である。

 その他,あくまでも実験的(Experimental)な位置付けではあるが,HTTPを下位プロトコルに使う方法がRFCでも定義されている(RFC2774)。

 HTTPを下位プロトコルとして利用するプロトコルは数多く存在し,クライアントとサーバーで特別なソフトウエアを導入していれば,任意のプロトコルをHTTPに“見せかける”ことが可能となる。そして,これらHTTPの上位プロトコルを使えば,ファイアウオールをすり抜ける攻撃が可能となる場合があるのだ。

IDSで攻撃を検出

 HTTPのために空けているポートを悪用する攻撃には,次の2種類が考えられる。

  1. HTTP以外のプロトコルで,HTTPでよく使うポート80番を通そうとする
  2. HTTPのプロトコルで,HTTPでよく使うポート80番を通そうとする

 1 の攻撃については簡単に回避できるので問題はない。ポートを空けていても,HTTPのプロキシ・サーバーなどを利用していれば,そのトラフィックが中継されることはない。また,IDS(侵入検知システム)で検出することも容易だ。1のトラフィックはHTTPの形式に従っていないので,単純にHTTPの形式であるかを調べるだけで判別できる。内容を調べる必要はない。

 問題は 2 である。前節で述べた,HTTPを下位プロトコルとして利用するプロトコルを悪用する場合はすべて 2 に該当する。HTTPを利用したプロトコルの場合,一見通常のHTTPトラフィックに見えるので,メッセージの内容を解析しないと,正規のトラフィックであるのか攻撃であるのかを判別できない。2 による攻撃を検出するには,IDSでメッセージの中身(ボディ)部まで調べる必要があるのだ。

 とはいえ,ネットワーク上を流れるトラフィックのすべてを“拾い上げて”,その中身を調べることは難しい。そこで,アプリケーション・ゲートウエイ(プロキシやファイアウオール)にIDSを組み込む方法が有効だろう。アプリケーション・ゲートウエイでは,通信内容をある程度解釈する必要があるので,そこで攻撃か否かを判断すれば,解析の負担が少なくて済む。

 現状のネットワークIDS(NIDS)で,HTTPに隠された攻撃をすべて検知することは難しい。例えば,オープン・ソースのNIDSである「Snort」では,WebDAVを使った攻撃についてはシグネチャ(攻撃を検知するためのデータ)が存在するが,SOAPについては存在しない。SOAPを使った攻撃が発見されていないということもあるが,SOAPの場合には本質的に解析が困難なことも一因であると筆者は考える。また,SOAPはRPC(RemoteProcedureCall)としても利用できる仕組みがある。そのため,“素”のHTTP以上に多種多用な攻撃を受ける可能性がある。

◇     ◇     ◇     ◇     ◇     ◇

 HTTPは元来シンプルなプロトコルであったが,そのシンプルさゆえに拡張が進められている。今後も,HTTPを利用する通信は増えてゆくだろう。そういった通信を使った攻撃の検出にはIDSが利用できるが,万全ではなく,検出できないケースも多数考えられる。今や業務にとって不可欠なWWWであるが,その通信を許可することは,HTTPに“隠された”通信を許すことにもなるのだ。そのリスクを心に留めておくべきである。


若居和直(WAKAI Kazunao)
株式会社ラック セキュアネットサービス事業本部
wakai@lac.co.jp


 IT Proセキュリティ・サイトが提供する「今週のSecurity Check [一般編]」は,その週に起きたUNIX関連およびセキュリティ全般のニュースや動向をまとめた週刊コラムです。セキュリティ・ベンダーである「株式会社ラック」のスタッフの方を執筆陣に迎え,専門家の立場から解説していただきます。

あなたにお薦め

連載新着

連載目次を見る

今のおすすめ記事

  • 【クラウド女子】

    リクルートでも異端、生粋クラウド女子の凄み

     起業家精神を尊ぶ企業文化で知られるリクルートグループ。そのITとネットマーケティングのスピード感の源泉となるクラウド基盤を支えるのが、リクルートテクノロジーズの宮崎幸恵さん(サイトリライアビリティエンジニアリング部クラウドグループ)だ。異動の激しいリクルート内では珍しく、新卒入社から6年超、クラウ…

  • 【北川 賢一のIT業界乱反射】

    富士通株価上昇のナゾ

     春の珍事と言うべきか、はたまた当然の結果と見るべきか。富士通の株価が急上昇し、2年ぶりの高値を付けた。富士通は4月28日の取引終了後に前年度比5%の減収、2%増益の2016年度連結決算を報告したが、その後の2週間で株価が15%上昇し、5月11日には800円の高値を付けたのである。

ITpro SPECIALPR

What’s New!

経営

アプリケーション/DB/ミドルウエア

クラウド

運用管理

設計/開発

サーバー/ストレージ

クライアント/OA機器

ネットワーク/通信サービス

セキュリティ

もっと見る