PR

高倉 弘喜 京都大学 准教授

 「スキャンは不正アクセスの前兆ですよね?」という質問を受けることがあります。もちろん、答えはYesです。では、スキャン元からのアクセスをフィルターすれば、不正アクセス対策としては十分でしょうか? 残念ながら、効果はあまり期待できません。

 現在のスキャンの主流は、1台のサーバーを調べ上げて、開放されているポートを見つけるPort Scan(ポートスキャン)ではありません。例えば、TCPの80番のように、狙ったポートが開いているサーバーの存在を探査するPort Sweep(ポートスイープ)が主流となっています。ここでは、Port Sweepについて述べます。

 侵入検知システム(IDSやIPS)は、Port Sweep対策に有効なセキュリティ装置です。現在、サーバーのログなどに痕跡を残さない様々なステルススキャンが使用されており、IDSの役割は益々重要になっています。

 IDSが最も得意とするPort Sweepは、短時間のうちに、IPアドレスの第4オクテット(末尾)を一つずつ繰り上げる、あるいは第4オクテットのみをランダムに変化させるものです。これを検知するためには、監視対象のIPアドレスにある程度の幅が必要となります。なお、Port Sweepでは、1台のサーバーに到着するスキャンパケットはたった1個です。

 著者の環境では、複数のアドレスブロックでIDSによる監視を行っています。そこでは、第1~4オクテットすべてをランダムに変化させたと推定されるPort Sweepが観測されています。一つのアドレスブロックで見ると、10分間で約6万5000のIPアドレスの内、2つにスキャンパケットが到達するといった頻度です。このようなPort Sweepに対しては、複数のアドレスブロックで長時間の監視をせねばならず、一般的なネットワーク環境での検知は困難なものとなります。