PR

三輪 信雄 ラック 不正アクセス対策事業本部長

ファイアウォールだけでは防げない

 A社はIMAPサーバーをファイアウォールで守ってあったし,導入時にはファイアウォールやIMAPサーバーに最新のパッチを適用してあった。侵入の原因に思い当たる節はなく,とりあえず調査することにした。

図1 バッファ・オーバーフロー攻撃を受けたA社のサーバー
最新パッチを適用していなかったA社は,大量のデータを送りつけてサーバーに侵入する「バッファ・オーバーフロー」によってIMAPサーバーに侵入された。Webサーバーには侵入されなかったが,IMAPサーバー経由でWebサーバーに侵入しようとしていたログが残っていた。不正アクセスを防ぐには,サーバーやファイアウォールに最新のパッチを導入しておく必要がある。
 まず,IMAPサーバーのログを調べたが,侵入方法を発見できない。次に,侵入されたと推測される日時のファイアウォールのログを分析したところ,「RCPT TO:aaa@aaaaaaaaaaaaaaaa aaaaaaaaaaa・・」という不審なコマンド行が記録されていた(図1[拡大表示])。「RCPT TO:」は,メールの相手先アドレスを入力すべき行。ところがここに,数千文字に及ぶ長い文字列が送り込まれていたのだ。

 このように大量の文字データを送りつける攻撃方法を「バッファ・オーバーフロー」と呼ぶ。大量のデータを送りつけてサーバーのメモリーをあふれさせ,異常な動作を誘発。巧みに長い文字列を設定することによって,悪意のプログラムを送り込んで実行させたり,不正アクセスが可能になる。

 一般にファイアウォールだけでは,バッファ・オーバーフロー攻撃は防げない。ファイアウォールはプロトコルやアプリケーションなどでアクセスを制限するシステムであり,バッファ・オーバーフローは文字列を送るだけのため,ファイアウォールは問題のないアクセスと判断してしまう。

簡単な対策を継続すれば被害を防げる

 企業は不正アクセスによって,重要な情報を盗まれるなどの大きな被害を受ける。しかし,バッファ・オーバーフロー攻撃の場合,その予防策は非常に簡単なケースがほとんどだ。

 メーカーやソフトウエアの作者は,バッファ・オーバーフローのセキュリティ・ホールが発見されると,すぐにサーバー向けのパッチやバージョンアップ・ソフトウエアをリリースする。

 サーバーの管理者は,リリースされたパッチやソフトウエアをすぐに導入すればよい。この対策を怠ると,昨日まで侵入されないセキュア・サーバーであったとしても,今日からは一発でroot権限が奪われるぜい弱なサーバーとなってしまう。

 A社の事例は,世界中のセキュリティ技術者が参加している公開されたメーリング・リスト,「BugTraq」に流れた情報に基づいて侵入されたと推測できる。攻撃に使われた方法は,A社が侵入される1カ月前に,メーリング・リストに流されていたのである。

 侵入時にバックドアトロイの木馬を仕掛けられた可能性もある。A社はすぐに,すべてのディスクをフォーマットした。その後に再インストールし,慎重にデータを復旧した。この作業には,不眠不休で1週間も要したのである。A社はこの経験の後,新しいパッチの発行情報をメーカーから随時入手して,適用する体制を整えた。