SIMを上手に使いこなす[前編]
業務中にSkypeやIMを使っているのは誰だ?
二木 真明住商情報システム株式会社
セキュリティソリューション事業部
事業部長補佐(技術担当)
CISSP
2005/11/8
SkypeやIMユーザーを特定する
このような「邪悪な」(というと語弊があるかもしれないが、管理者にとっては……)アプリケーションの利用者を特定できれば、そのユーザーに対してだけ、しきい値をアプリケーションに合わせて調整し、誤認を減らすことも可能だ。もちろん、しきい値を高くするということは見落としの可能性も増大させるが、オオカミ少年に翻弄されるよりはマシというものである。
では、このようなアプリケーションをどうやって特定するか。例えば、IDS(不正侵入検知システム)が対応シグネチャを持っていればベストだろう。IDSでファイアウォールを通過する通信を監視し、その情報をSIMに送り込めばよい。
筆者は、別の方法を使って挑戦してみることにした。ファイアウォールのログのみを使う方法だ。IMユーザーの特定は比較的簡単である。IMの個別の通信先は複数になるが、通信先のホスト名はIMサービスを提供している特定のドメインに属する。
ArcSight ESMでは、イベントを取り込む際、そのIPアドレスフィールドに対するDNSの逆引きを行うので、イベント情報内にホストのFQDNが格納されている。この情報が、例えばMSNやyahooといったドメインの、メッセンジャーサービスホストがあるサブドメインに属しているかどうかを判断する。こうしてIMを使っているユーザーのIPアドレスを特定できる。
Skypeについては単純ではない。絵に描いたようなPtoPアプリケーションであるSkypeの通信先は動的に変化する。一部のIDSには完全ではないもののSkypeの特定の通信を検知するシグネチャが存在する。
筆者が日本Snortユーザ会のメーリングリストで教えてもらったものも、その1つだ。これはSkype起動時に行われるバージョン確認の通信を検出するものである。すべての通信は特定できないものの、少なくともSkypeをインストールしているPC(正確には、Skypeを起動したPC)を特定できるわけだ。
へそ曲がりな筆者は、これをSnortではなく、ファイアウォールのログを使って実装してみた。筆者が利用しているファイアウォールではHTTPでアクセスしたURLをログとして得ることができる。Snortのシグネチャは、このリクエストURLに含まれる文字列に対するパターンである。ファイアウォールのログに対して同様のパターンマッチをする機能をSIM上に実装できた。
結果は上々だった。試しに検出したIPアドレスのオーナーに「Skype使ってる?」と聞くと、全員が「え、何で分かったんですか? まずいですか?」と困惑した表情を浮かべながら答えてくれた。もちろん、正攻法はIDSを使って検知を行うことだが、Proxyサーバを使用しているサイトでは、そのログを流用することも可能だ。
筆者はIMとSkypeユーザーのIPアドレスを一覧できるパネルをSIM上に作っている。これを見れば、誰がどの程度の頻度で通信しているかが一目瞭然(りょうぜん)。仕事中に友達とチャットしているふらちな連中 (こんな奴がいないことを信じたいが……)にとっては少々都合が悪いこととなった。
 |
| パネル1 インスタントメッセンジャー利用者一覧 |
 |
| パネル2 Skype利用者一覧 |
ワーム検知の改良
さて、IMとSkypeユーザーが分かるようになったので、今度はその情報を使ってワーム検知の誤認を減らす仕組みを考えてみた。まず、IM、Skype使用を検知したIPアドレスをSIM上に記憶させる。ArcSight ESMの場合、アクティブリストと呼ばれる一種のブラックリストを作る機能があり、相関ルールの中から参照が可能だ。
次に、しきい値の比較的低いワーム検知ルールを作り、このリストに含まれるIPアドレスを除外する条件を追加する。アクティブリストに保持されるIPアドレスは数日間検知がなければ消えるように設定して、IMやSkypeを利用しなくなったIPアドレスは検知対象に戻るようにした。当然、どちらが先に検出されるかによって誤認が発生するケースも残っているが、大幅に誤認を減らすことができた。
問題は、この方法では対象ユーザーがワームに感染した場合、検知できないことだ。これは誤認を減らすこととのトレードオフだが、何らかのセーフガードは必要である。そこで、ぎりぎりSkypeを誤認しない程度にしきい値を上げたルールを作って、それを超えるような“派手な”ワーム感染は見つけられるように考慮した。単純にしきい値を大きくして全体の感度を下げるのではなく、特定の紛らわしいアプリケーション利用者のみ感度を下げるような検知機構が実現できたと思う。
後編では、スパイウェアなどによる不審な通信や、勝手にネットワーク機器を追加しているユーザーを洗い出す方法を紹介する。
| 【編集部より】 本記事は、管理者による過度のモニタリングを推奨するものではありません。従業員を対象としたモニタリングについては、個人情報保護の観点から労働組合などと必要に応じて協議し、取り決め事項を従業員に周知することが望ましいとされています(厚生労働省告示第259号「雇用管理に関する個人情報の適正な取扱いを確保するために事業者が講ずべき措置に関する指針」)。 以下は、経済産業省による「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」からの抜粋です。
|
 |
2/2
|
| Index | |
| 業務中にSkypeやIMを使っているのは誰だ? | |
| Page1 未知ウイルス/ワームの感染を見つけ出す ファイアウォールのログから怪しい通信を洗い出す ネットワークワームを検知する仕掛け |
|
 |
Page2 SkypeやIMユーザーを特定する ワーム検知の改良 |
| セキュリティ情報マネジメント概論 | |
| SIMで企業のセキュリティを統合管理せよ | |
| セキュリティ情報マネジメントの仕組みを技術的に理解する(1) | |
| セキュリティ情報マネジメントの仕組みを技術的に理解する(2) | |
| SIMを上手に使いこなす | |
| 業務中にSkypeやIMを使っているのは誰だ? | |
| 不審な通信や無許可ホストを見逃さない | |
 |
業務中にSkypeやIMを使っているのは誰だ? |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
