インターネットにアクセスするときは必ずグローバルIPアドレスを使います。このアドレスは社内ネットワーク/デバイスとインターネットとの接点であり、外部から直接ネットワーク攻撃を受けるポイントです。
今回は、ネットワーク上を流れているパケットから得られる情報を元に、自社が「インターネット上のどこから、どんなネットワーク攻撃を受けているか」を可視化する方法を解説します。
社内ネットワークと外部インターネットとの境界
グローバルIP(v4)は地球圏全体で重複してはならず、数に限りがあるため枯渇気味です。そこで、プロバイダから動的に割り当てられた1つのアドレスに対し、NATやNAPT機能を使って複数の社内PCで共有するのが一般的です。企業の場合は、外部公開WebサーバやVPNなどのために固定IPを複数使っている場合もあるでしょう。
一度、自社で使っているグローバルIP=インターネットとの境界点をプロバイダの契約書などで確認しておくことをお勧めします。
そうめん流しを思い浮かべてください。すべてのそうめんを得ようとしたら、なるべく上流に座る必要があります。ネットワークにおいても、なるべくインターネット境界に近い上流でデータを集める方が網羅的に収集できます。従って、センサーを仕掛けるポイント候補は図の5カ所となります。
センサーをインラインに設置する場合、機器故障や障害対策として冗長化やバイパス機能があると業務への影響を抑えることができます。データ収集のみで検知したものを遮断しない場合はミラーリング(位置4)のほか、TAP装置を使って任意の位置でトラフィックのコピーを収集する方法もあります。
収集できるデータは以下のようなものがあります。
・トラフィックの情報:通信量、プロトコル、フレーム/パケットサイズ
・パケットの情報:送信元アドレス、送信先アドレス、ペイロード
・攻撃検知の情報:UTMやIPS/IDSが攻撃と検知したもの
目的によってセンサーと設置場所を決定します。
ネットワーク攻撃の種類
インターネットからの攻撃方法はさまざまです。
1パケットを調べただけで攻撃と分かる場合もあれば、業務メールに偽装した標的型攻撃のように送信元ドメインや添付ファイルなどの複数情報を組み合わせ、時系列の通信のやり取りを総合的に分析しなければ見つけられない場合もあります。通信パケットそのものは正常でも、大量に送出すればDoS攻撃になります。同じユーザIDに対してパスワード総当たり攻撃を毎日数回ペースで継続されるとユーザ操作と区別できない攻撃になります。
ここでは、パケットから得られた情報のみで攻撃かどうかを判断しやすいものをあげています。
この分類は一例で、保護する対象物による分類や、OSI参照モデルのレイヤーによる分類、検知エンジンロジックによる分類など、センサー機種によってもさまざまです。
トラフィックの可視化と分析
あるプロバイダ環境でFW外側(位置1)にセンサーを置き、インターネットから内部に向けて送信されたフレーム数/種類について、分単位1日分データを可視化したものです。縦軸はフレーム数、横軸は時間を示しています。この日は月曜日でした。
1フレームには46Byte~1,500Byteのデータが含まれますが、このグラフでは通信データ量まではわかりません。TCP(青)は常にほぼ一定量の通信がありますが、UDP(赤)は日中だけでなく深夜0時~2時にも多い時間帯があります。これは個人ユーザが夜遅くに動画閲覧などを行っていたためと思われますが、少し多すぎるようです。実はDDoS攻撃を受けており、1週間に100億回を超えるDNS Query Floodingのシグネチャ検出があったのです。
さらに注目いただきたいのは矢印①、7時台に突出しているICMP(緑)です。ICMPはpingやtracerouteコマンドで利用されるものですが、攻撃(→ リンク https://eset-info.canon-its.jp/malware_info/term/detail/00001.html)にも使われます。グラフだけで断定はできませんが、早朝外部からまとまったICMPパケットが届いている状況をみると何らかの攻撃を受けていた可能性も考えられます。やはり実際に攻撃を受けており、1週間に30億回を超えるPing Floodingのシグネチャ検出がありました。
次のグラフは外部から内部に送られたsmtpパケット数を、1時間単位で1週間分可視化したものです。smtpはメールの送信に使われます。
1通のメールを送信する場合、送信元と受信先の間で複数回のコマンド―応答のやり取りがありますので、パケットの数からはメール通数や送受信方向までは把握できません。このグラフでは、時間帯別の利用頻度が見て取れます。
特定の1週間分データですが、大まかに土日は減少傾向、日曜深夜と水曜日中にまとまった通信があるようです。smtpのほか、http、ftp、dns、ntpなど主要なトラフィックデータを蓄積し、日常のトラフィック傾向を把握しておけば、突出したデータを見つけた場合に何か異常があったことが分かる場合があります。いわゆるアノマリ検知です。最新セキュリティ製品ではグラフ化して目視確認というより、機械学習を使って異常を見つけるものが増えてきています。
ここまでトラフィック情報をもとに、自社への攻撃をみてきました。 次回は攻撃検知データを使っていきます。
著者紹介
石川 堤一 (いしかわ ていいち)
キヤノンITソリューションズ 基盤セキュリティ企画センター マルウェアラボ マネージャー シニアセキュリティリサーチャー
約20年に渡りESET製品をはじめとした海外製品のローカライズ業務に携わり数多くの日本語版製品を世に送り出す。また、ウイルス感染やスパム対策、フィッシング被害のサポート業務にも従事。
現在はこれまでの経験を活かして、国内で確認された新しい脅威に対するレポートや注意喚起などの啓蒙活動や、キヤノンITソリューションズ運営の、より安全なインターネット活用のためのセキュリティ情報を提供する「マルウェア情報局」の記事執筆をするほか、マルウェア解析サービスのマネージャーとしても活動中。