HIEDA NET Corpration
 > これは変だよ  > ソーシャルセキュリティ FireWallは役に立たない!


 

S大隊毎週木曜日恒例のアサミ・・・全体集会T中隊長から、
  「Windows Updateをするように!」
という周知・指示があった。

そのとき
  「Fire Wallがあるのに、なぜかセキュリティセンターから注意がありました。」
という話があった。

まったく、な〜に考えているんだろうね!

Fire wallで防げないVirus侵入もある。(最近はこちらのほうが多い!)

最近のVirus(マルウェア)は、TCP port 25や80・110といったFire wallの開いているポートを利用して攻撃する。また、S大隊が被害者という状況だけでなく、Virusに感染すると自覚のない加害者になることもある。

このことが判っていないようなのでS大隊が自覚のない加害者となっているログを利用して解説したメールを書いた。

以下に、インターネットを介して外部のサーバを攻撃した記録の一部を紹介し
ます。(40日ほど前のことです。)

@ 外部のWebサーバのアクセスログ

※ クライアントのアドレスが 129.60.5.84 ということが判ります。
※ インターネットへのアクセスにProxy Serverを利用していると、アクセスされた側からは、
Proxyのアドレスが「クライアントの如く」見えます。
※ Microsoft IISの脆弱性を利用しています。
※ 脆弱性を対策してあるサーバなので、攻撃は失敗しています。
※ 時間はグリニッジです。日本時間は+09:00なので、ちょうどお昼休み時間ということが判
ります。

#Software: Microsoft Internet Information Server
#Date: 2005-10-25 15:31:03
#Fields: time c-ip cs-username cs-method cs-uri-stem sc-status cs(Referer)

(抜粋)

03:28:15 129.60.5.84 - GET / 404 -
03:28:17 129.60.5.84 - GET / 404 -
03:28:17 129.60.5.84 - GET / 404 -
03:28:19 129.60.5.84 - GET /_vti_inf.html 404 -
03:28:19 129.60.5.84 - GET / 404 -
03:28:19 129.60.5.84 - GET / 404 -
03:28:19 129.60.5.84 - GET / 404 -
03:28:20 129.60.5.84 - GET /_vti_inf.html 404 -
03:28:20 129.60.5.84 - GET / 404 -
03:28:20 129.60.5.84 - GET / 404 -
03:28:21 129.60.5.84 - GET / 404 -
03:28:21 129.60.5.84 - GET / 404 -
03:28:21 129.60.5.84 - GET / 404 -
03:28:21 129.60.5.84 - GET / 404 -

(以下略)


A Url-Scan(簡単に言えば対策用プログラム)でRejectしたアクセスの内容

※ こちらの時間は日本時間です。

[10-26-2005 - 12:28:16] ---------------- Initializing UrlScan.log
----------------
[10-26-2005 - 12:28:16] -- Filter initialization time: [10-05-2005 -
23:42:12]  --
[10-26-2005 - 12:28:16] Client at 129.60.5.84: Sent verb 'OPTIONS',
which is not specifically allowed. Request will be rejected.
[10-26-2005 - 12:28:17] Client at 129.60.5.84: Sent verb 'OPTIONS',
which is not specifically allowed. Request will be rejected.
[10-26-2005 - 12:28:17] Client at 129.60.5.84: Sent verb 'OPTIONS',
which is not specifically allowed. Request will be rejected.
[10-26-2005 - 12:28:19] Client at 129.60.5.84: Content-Length 41
exceeded maximum allowed. Request will be rejected. Site Instance='3',
Raw URL='/_vti_bin/shtml.exe/_vti_rpc'
[10-26-2005 - 12:28:19] Client at 129.60.5.84: Sent verb 'OPTIONS',
which is not specifically allowed. Request will be rejected.
[10-26-2005 - 12:28:19] Client at 129.60.5.84: Sent verb 'OPTIONS',
which is not specifically allowed. Request will be rejected.
[10-26-2005 - 12:28:20] Client at 129.60.5.84: Content-Length 41
exceeded maximum allowed. Request will be rejected. Site Instance='3',
Raw URL='/_vti_bin/shtml.exe/_vti_rpc'
[10-26-2005 - 12:28:20] Client at 129.60.5.84: Sent verb 'OPTIONS',
which is not specifically allowed. Request will be rejected.
[10-26-2005 - 12:28:21] Client at 129.60.5.84: Sent verb 'OPTIONS',
which is not specifically allowed. Request will be rejected.
[10-26-2005 - 12:28:22] Client at 129.60.5.84: Sent verb 'OPTIONS',
which is not specifically allowed. Request will be rejected.
[10-26-2005 - 12:28:22] Client at 129.60.5.84: Sent verb 'OPTIONS',
which is not specifically allowed. Request will be rejected.
[10-26-2005 - 12:28:22] Client at 129.60.5.84: Sent verb 'OPTIONS',
which is not specifically allowed. Request will be rejected.
[10-26-2005 - 12:29:46] Client at 129.60.5.84: Sent verb 'OPTIONS',
which is not specifically allowed. Request will be rejected.
[10-26-2005 - 12:29:46] Client at 129.60.5.84: Sent verb 'OPTIONS',
which is not specifically allowed. Request will be rejected.
[10-26-2005 - 12:29:46] Client at 129.60.5.84: Sent verb 'OPTIONS',
which is not specifically allowed. Request will be rejected.
[10-26-2005 - 12:29:46] Client at 129.60.5.84: Sent verb 'OPTIONS',
which is not specifically allowed. Request will be rejected.
[10-26-2005 - 12:33:26] Client at 129.60.5.84: Sent verb 'OPTIONS',
which is not specifically allowed. Request will be rejected.
[10-26-2005 - 12:33:26] Client at 129.60.5.84: Sent verb 'OPTIONS',
which is not specifically allowed. Request will be rejected.
[10-26-2005 - 12:33:26] Client at 129.60.5.84: Sent verb 'OPTIONS',
which is not specifically allowed. Request will be rejected.
[10-26-2005 - 12:33:27] Client at 129.60.5.84: Content-Length 41
exceeded maximum allowed. Request will be rejected. Site Instance='3',
Raw URL='/_vti_bin/shtml.exe/_vti_rpc'
[10-26-2005 - 12:33:27] Client at 129.60.5.84: Sent verb 'OPTIONS',
which is not specifically allowed. Request will be rejected.
[10-26-2005 - 12:33:28] Client at 129.60.5.84: Sent verb 'OPTIONS',
which is not specifically allowed. Request will be rejected.
[10-26-2005 - 12:33:28] Client at 129.60.5.84: Content-Length 41
exceeded maximum allowed. Request will be rejected. Site Instance='3',
Raw URL='/_vti_bin/shtml.exe/_vti_rpc'
[10-26-2005 - 12:33:29] Client at 129.60.5.84: Sent verb 'OPTIONS',
which is not specifically allowed. Request will be rejected.
[10-26-2005 - 12:33:29] Client at 129.60.5.84: Sent verb 'OPTIONS',
which is not specifically allowed. Request will be rejected.
[10-26-2005 - 12:33:29] Client at 129.60.5.84: Sent verb 'OPTIONS',
which is not specifically allowed. Request will be rejected.
[10-26-2005 - 12:33:30] Client at 129.60.5.84: Sent verb 'OPTIONS',
which is not specifically allowed. Request will be rejected.
[10-26-2005 - 12:33:30] Client at 129.60.5.84: Sent verb 'OPTIONS',
which is not specifically allowed. Request will be rejected.
[10-26-2005 - 12:33:39] Client at 129.60.5.84: Sent verb 'OPTIONS',
which is not specifically allowed. Request will be rejected.
[10-26-2005 - 12:33:39] Client at 129.60.5.84: Sent verb 'OPTIONS',
which is not specifically allowed. Request will be rejected.
[10-26-2005 - 12:33:39] Client at 129.60.5.84: Sent verb 'OPTIONS',
which is not specifically allowed. Request will be rejected.
[10-26-2005 - 12:33:39] Client at 129.60.5.84: Sent verb 'OPTIONS',
which is not specifically allowed. Request will be rejected.


B 当該アドレスをWhois解決してみましょう

APNICのページで 129.60.5.84 を解決してみます
http://www.apnic.net/apnic-bin/whois.pl

inetnum:      129.60.0.0 - 129.60.255.255
netname:      NTT-INET
country:      JP
descr:        Nippon Telegraph and Telephone Corporation
descr:        Information Sharing Laboratory Group
mnt-by:       MAINT-JP-NTTELECTCOMLAB

ということが判りました。

ログを見てどの程度の方が
  「あっ!Virusに感染したマシンからの攻撃だ!」
と理解できたかわからぬ。ポイントは

  1. 人間業ではない秒単位のアクセスであること
  2. GET /_vti_inf.html なんてMicrosoft Internet Information Serverの脆弱性を狙っていること
である。
※ これを読んで「だからやっぱりApacheだぜ!」なんていう人もだめだな!Fixされていない(パッチの出ていない)脆弱性はApacheの方が多いのだから。
※ Fixされている(パッチの出ている)脆弱性に対して未対処なのは、IISかApacheかなんて問題ではなく、サーバ管理者のスキルとモラルの問題だ!。
※ しかし、ここの団体は以前にもこんな事件を起こしているんだ。全く過去に学びが無いよね。

ソーシャルセキュリティに対する意識の欠如!

先のログ解説メールを出した後、僕が尊敬するMSG中隊長からメーリングリストで返事が来た。

MSGです。
天災>そのとき
天災>「Fire Wallがあるのに,なぜかセキュリティセンターから注意がありました.」
天災>というお話がありました.


Firewallがあってもまだまだ抜けがあるんですね。
昔nimdaか何かは伝搬が早すぎてVaccineの配布が間に合わなくて伝染したことがありました。
会社のFirewallを過信することなくこまめにWinupします。

私の自宅はBBR置かずにFletsツールで直接つないでいるので、
会社と比べてずいぶんNortonのWarning(ウィルスを検出・除去完了報告)が出ます。

余談ですが、
T中隊長さんの意図は(分かってらっしゃると思いますが念のため)
Virusをブロックする使命を持ったセキュリティセンタが
ブロックしきれずに社内にVirusが漏れたのに、
どうして俺たちがあいつらに注意されなきゃいけないんだ、チクチク
ってことですよね。
まったく、な〜に考えているんだろうね!
分かってらっしゃると思いますが念のため と書いてあるけれど、その憶測通り!僕は判ってません!

なぜならば、

Virusをブロックする使命を持ったセキュリティセンタが
ブロックしきれずに社内にVirusが漏れたのに、
どうして俺たちがあいつらに注意されなきゃいけないんだ、チクチク
って考え方がまったく、ダ〜メ!だから。

最近のVirus感染は、

  • ユーザの操作によって
  • ユーザ自らが感染元にアクセスして
感染するから。

メールの添付ファイルやHTMLメールを見て感染したりするのは有名だ。それだけでなく、悪意を持ったスクリプトの仕掛けられているWebページを閲覧して感染するユーザがいるのだ。

メールからもWebページからの感染もいずれもユーザの操作によって感染しているのである。これはFireWallでは防ぎようがない。

S大隊では、無い坊主という貧弱Webイントラネットシステムを利用しているのだが、IIS上で動いているんだなぁ、これが!。

  1. インターネット上のWebページ閲覧というユーザ操作でVirusに感染する
  2. 感染者が毎朝の習慣で無い坊主を見る
  3. 無い坊主がVirusに感染する
  4. あとはバイオハザードの如く、S大隊に感染が広がる
なんてすばらしいシナリオだ!

今回の格言

ユーザの操作によって感染する場合、FireWallでは防ぎようがない!Social Securityという考え方で対処すべき。
→ ユーザー教育 → ユーザーの意識改革が必要!

今回の愚痴

ま〜たく、こんなことも知らないで・考慮しないで、威張ってるんじゃない!偉らそぶるな!求む!反省!

今回の応用

ライバル会社同士、お互いのインターネットWebページを見ているのは一般的だから、ライバル会社のIPでのアクセスで動作する悪意を持ったスクリプトなんて凄いな!

初出 Dec 01 2005
更新 Feb 07 2006


 

 (C)2003 HIEDA NET Corporation All rights reserved.