2008年03月19日

セキュリティギャップ解消のための3つの要件(その1)

〜TippingPoint Technical Forumレポート〜

 3月10日、都内においてTippingPoint日本支社(日本支社長 相馬 正幸)とNTTアドバンステクノロジ株式会社が共同で「TippingPoint Technical Forum」を開催した。このForumではTippingPoint社の研究開発機関「DVLabs」のシニアマネージャであるロヒト・ダマンカール氏は最新のネットワーク脅威の傾向とIPSの優位性について講演を行った。今回はその模様を紹介する。

●大きく3つに分類できる最新のネットワーク脅威の傾向
 3月10日、都内においてTippingPoint日本支社(日本支社長 相馬 正幸)とNTTアドバンステクノロジ株式会社が共同で「TippingPoint Technical Forum」を開催した。壇上に立ったTippingPoint社の研究開発機関である「DVLabs」のシニアマネージャを務めるロヒト・ダマンカール氏はDVLabsだけでなく「SANS Top-20 Internet Security Attack Target project」ディレクターも務めており、最新の脅威について分析、対策を行っている。 ロヒト氏はまず、最新のネットワーク脅威の傾向として、「過去に大規模な被害をもたらしたワームが現在も活動しており、新たな亜種も発生しつつけていること」「情報に対するクリティカルな攻撃の増加」「インフラに対するクリティカルな攻撃の増加」の3つを挙げた。

 過去のワームについては、「Slammer」および「Windows RPCワーム」を例に挙げ、2008年のデータにおいてもこれらのワームは世界中のTippingPoint IPSで検出されており、「Slammer」は1月下旬に20万台近く、「Windows RPCワーム」は2月上旬に3千台近くを検出している。また、最新のデータでは、検出される「Windows RPCワーム」のうち「Blaster」が半数近く、「Sasser」が3割を占め、「Gaobot」が2割弱を占めていた。

 なお、システムが攻撃された原因は、日本の場合「Windows RPCワーム」では「Sasser」および「Zotob」、Webアプリケーションへの攻撃では「PHPファイル追加」、またブルートフォース攻撃が多いという。ただし、TippingPoint IPSを大学に導入しモニタした結果では、3日間に7,000以上、平均2分に3回の攻撃が観測されたが、IPはカナダのものでホストはスイスと攻撃のグローバル化が進んでおり、地域性は希薄になっているという。

 攻撃手法のステルス化も顕著であり、ロヒト氏はクライアントPCを攻撃するためにWebページに潜ませる手法のひとつを紹介した。これは、HTMLをわかりにくくすることでセキュリティ対策をすり抜けるというもの。「f」を「0x66」、「a」を「0x61」などASCIIコードをベースに手を加えることで、<iframe>は<i\146r'+'\u0061\u006d\145>となる。これによりセキュリティをかいくぐり、悪意あるプログラムの実行やダウンロードなどに悪用する。


posted by ダンケルク at 23:26| Comment(0) | TrackBack(0) | 内部統制 | このブログの読者になる | 更新情報をチェックする
この記事へのコメント
コメントを書く
お名前:

メールアドレス:

ホームページアドレス:

コメント:

認証コード: [必須入力]


※画像の中の文字を半角で入力してください。

この記事へのトラックバック
×

この広告は180日以上新しい記事の投稿がないブログに表示されております。