攻撃例と既存の攻撃検知システム

ここでは，SOCによるリモート監視技術において，検知すべきWebサーバに対 する攻撃を説明する．

2.2.1 Web ^{サーバに対する攻撃例}

DNSスプーフ攻撃

DNSスプーフ攻撃は，攻撃者がDNSにおけるDomain NameとIPアドレスの対 応を書き換えることで，正規サーバになりすましたサーバへと閲覧者を誘導する攻 撃である．本攻撃は，Webサーバ自体のセキュリティを確保するだけで防御するこ とはできない．

DDoS攻撃

DDoS攻撃は，例えばトロイの木馬プログラムに感染したホストから，特定のター ゲットホストへトラヒックを集中させることで，ターゲットホストが属するネット ワークサービスを不能にする攻撃である．

図 2.1: Webページの構成例

改竄攻撃

多くのWebページは，基本となるHTMLファイルと，これを構成するファイルの 集合から構成されている．E-コマースサイトを例に，この様子を図2.1に示す．コン テンツ改竄攻撃者は，この基本となるHTMLファイル自体を改竄することで，ペー ジの全体的な見た目を変更したり，一部の構成ファイル，例えば価格ファイルを変 更したりすることで，サイト運営に支障を与える．

第 2章 Webサーバリモート監視システムの実装および評価 33

2.2.2 既存の攻撃検知システムの原理

侵入検知システム

既存の侵入検知システムは，あらかじめ登録された攻撃パターンとのマッチング により検知をしており，監視するシステム環境，例えばネットワーク構成等を考慮 したものではない．

改竄検知システム

改竄攻撃を検知する手法として，一方向性ハッシュ関数[11]を用いたファイル監 視システムがある[5],[6]．これは，監視対象のオリジナルファイルから求めたハッ シュ値をその特徴として保持しておき，定期的に対象ファイルを取得してそのハッ シュ値と比較することで，改竄を検知する手法である．本手法の信頼性は，オリジ ナルファイルのハッシュ値と，改竄後のハッシュ値を一致させることが極めて困難 であることに依っている．改竄検知システムは，ホストに常駐して監視対象ファイ ルの変更を定期的に検査している．[7],[8]では，Webファイル作成者がその正当性 を証明するための署名データを作成し，Webファイルならびに署名データの両方を Webサーバ上で管理することで，作成者が意図しないファイルの変更，要するに改 竄を確実に検出するシステムとなっている．

2.2.3 既存の攻撃検知システムの問題点

上記検知システムに関する基本的な問題点と，改竄攻撃におけるページの構成ファ イルを網羅的に監視するときの問題点をまとめる．

(問題点1) 管理下にない外部のDNSに対する攻撃を検知できないことや，DDoS攻

撃を受けた場合の影響度を閲覧者の立場から評価することができない．

(問題点2) いざ侵入されたときには，常駐している検知システム自体に攻撃を受け てしまう．

(問題点3) 複数のホストを個別管理することにより，運用コストが増大する．

(問題点4) ホストのOS毎にシステムを用意しなければならない．

(問題点5) ホストに検査のための処理負荷を与える．

(問題点6) ファイル管理者が，全てのファイルを抜けなく登録する必要があり，作 業は煩雑なものとなる．