さまざまなパートナー企業の営業の方や技術の方に製品トレーニングを行なうと、毎回さまざまなご質問をいただきます。先日、製品トレーニングをしていた時は、「PC向けにホストベースの侵入防止機能(IPS)は必要なのですか?エンドユーザーには余計な機能は要らないと言われているので、できれば入れたくないのですが」というご質問をいただきました。
製品に搭載されている機能なので、もちろんセキュリティ対策上必要性があるから搭載しています。ですので、返答は「LAN経由でのPCへのウイルスの侵入感染防止のためには必要な機能です」なのですが、関連する事項もいくつかありますので、今回はこのホストベースの侵入防止機能から話を掘り下げてみたいと思います。
ホストベースのIDSとIPS
オフィスの入り口で入館/入室管理を行なっている企業は多いと思いますが、不正な侵入を完全に防ぐことは難しいでしょう。そこで、オフィス内にも警備用カメラを設置し、場合によっては守衛さんをおいて不正な入館に対処しているケースもあると思います。
社内LANのセキュリティも同様です。安全性のためには、前回に紹介したパーソナルファイアーウォールだけでなく、ホストベースの侵入検知(IDS)もしくは侵入防止(IPS)とよばれる機能の併用が望ましいのです。
ホストベースのIDSは、PC(ホスト)に入ってくるネットワーク接続を監視し、不正な接続を見極めます。不正侵入の検知はファイアウォールでも可能と思うかもしれませんが、実際にはファイアウォールだけでは完全には防げません。なぜなら、ファイアウォールは、許可したプロトコル/IPアドレス(たとえば社内のIPアドレス)から通信に対しては、通信の内容が防いであっても接続を許可してしまうからです。
ウイルスに感染した社内のPCから、他のPCに対して社内LAN経由で感染を広げる場合を考えてみましょう。ウイルスは、ウイルス感染を試みるため、社内の他のPCに対して短時間に多数の接続を行ないます。この場合でも、許可ポート設定に応じて接続を認めるだけのファイアウォールでは、その接続が悪意のあるものなのかどうかは判定できません。
こういったケースでも適切に、ホストへの通信がウイルス感染のための接続かどうかを見つけるのが、ホストベースのIDSです。接続パターンを分析し、不審な接続パターンであれば、設定に従ってユーザーに通知するのです。
ファイアウォールでは許可/拒否リストに応じて接続を確立/拒否するだけで、接続パターンまでは判断しない
もっとも、ホストベースのIDSが通知を出しても、その通知の内容が本当に危険なのかをユーザーが判断するのは難しいでしょう。管理者に連絡したとしても、即時に対応してもらえない場合もあるでしょうし、その間にウイルス感染被害が広がる可能性もあります。
そこで、疑わしい接続を検知した際に「もしかしたら正当な接続かもしれないが、安全のために怪しきは通さないようにしておく」機能を持たせたものが、ホストベースのIPSです。不審な接続パターンを検出し、設定に従って接続を拒否します。
侵入防止(IPS)は、接続パターンを検出し、「怪しいきは通さない」ポリシーで接続をブロックする
2011年下半期に一気に認識率が高まった標的型攻撃ですが、その攻撃に使われるマルウェアは、一度PCに感染するとLAN内のPCをサーチして情報を収集したり、LAN内をポートスキャンします。そうして、別のPCのぜい弱性を突いて侵入し、必要な情報を入手して攻撃者に送信したり、バックドアを開けて外部からの制御を許可したりします。
LAN内でポートスキャンし、脆弱性を利用して感染を拡大、情報を入手する
このように、LAN内で活動するマルウェアの多くは、LAN内でポートスキャンの手法を使って感染拡大を図り、社内情報を盗み出すので、企業内のネットワーク管理者にとって、LAN内ポートスキャンへの対策は必須のものと考えてよいでしょう。
TCPコネクトスキャン | TCPポートを対象とした手法で、3WAYハンドシェイクと呼ばれるSYN-SYN/ACK-ACKのシーケンスを実行し、ターゲットポートにおいてTCPコネクションを確立できるかどうかで状態を確認する。 |
---|---|
SYNスキャン(TCPハーフスキャン) | TCPポートを対象とした手法で、コネクションは確立せずに、ターゲットポートの状態のみを確認する。接続する代わりにターゲットポートに対してSYNパケットを送り状態を確認・ターゲットポートからSYN/ACKを受信した場合のポートはLISTEN状態・ターゲットポートからRST/ACKを受信した場合のポートは非LISTEN状態 |
UDPスキャン | UDPではコネクションは確立できないので、ターゲットポートにパケットを送り、応答がなければACTIVEと判断。「ICMP port unreachable」が戻れば非ACTIVEと判断する |
ファイアウォールとIPS/IDSは併用を
前述の通り、ファイアウォールだけでは許可リスト/拒否リストによる接続制御しか行なわないため、怪しい接続なのかどうかの判断を行ないません。このため、LAN内感染を図ろうとするウイルスや攻撃者は、ポートスキャンなどによりPCへの接続を試みてPCの状態を把握。弱い部分を利用して取り付こうとします。
標的型攻撃によるLAN内ウイルスの感染拡大や情報盗難の予防と対策の観点から、ファイアウォールと併せて、ホストベースのIDSもしくはIPSの利用をお勧めしたいと思います。
導入しているセキュリティ製品に搭載された機能を最大限に活かし、LAN内でも安全を守ってください。また、セキュリティ製品を選定している場合には、LAN上にあるPCやサーバー、保存された情報を守る観点から、ネットワークのセキュリティ対策を講じることができる機能にも目を向けることを強く推奨いたします。
筆者紹介:富安洋介
エフセキュア株式会社 テクノロジー&サービス部 プロダクトエキスパート2008年、エフセキュアに入社。主にLinux製品について、パートナーへの技術的支援を担当する。