「攻撃者が早期警戒センサーを回避することは可能」--研究者らが論文発表

　ボルティモア発--最新の研究によれば、インターネット上に極秘で配備される早期警戒センサーのネットワークを、ワームが将来的に回避するようになると見られ、そのための何らかの対策が必要だという。

　当地で開催されている「USENIX Security Symposium」で米国時間4日に発表された2つの論文で、このような危険性が指摘された。この論文を発表したコンピュータ科学者らによると、攻撃者らは、異常な活動を検出する仕組みであるセンサーの位置を突き止めることができるという。これが事実だとすると、早期警戒センサーを使って悪質な行為を検出することは今後困難になる。

　ミシガン大学のInternet Motion SensorやSANS Internet Storm Centerのようなインターネットセンサーネットワークにつながれたマシン群は、ネットワーク上のトラフィックや未使用のIPネットワークを監視する。アナリストらは、これらのセンサーネットワークが生成する統計レポートを使って、トラフィックを追跡したり、悪質な活動を検出したり、その対処方法を検討したりする。

　街頭で監視カメラを隠して設置することがあるように、ネットワークにつながれたインターネットセンサーも、意図的に場所が分からないように設定されている。「センサーの場所が分かれば、攻撃者はこれらを迂回したり、エラーデータをたくさん送りつけることでセンサーをかく乱したりすることができてしまう」とウィスコンシン大学のコンピュータ科学者チームは、『Mapping Internet Sensors with Probe Response Attacks』と題した論文の中で説明する。この論文で同チームは、賞を獲得している。

　しかし、ウィスコンシン大学の研究者らは、センサーの配置図から得られる情報だけで、センサーの場所を割り出すアルゴリズムを開発することが可能であることを発見したと、同論文の共著者であるJohn Bethencourtは、プレゼンテーションで発表した。

　攻撃者は、複数のIPアドレスにパケット情報を送信し、その活動がセンサーから得られるレポートに記録されるかをチェックするだけでよい。レポートに記録がなければ、「そのアドレスは監視されていないことが分かる」とBethencourtは説明する。

　Bethencourtのチームは、広帯域ネットワークを使って、SANS Internet Storm Centerのネットワークやランダムに生成されたIPアドレスに対して模擬的な攻撃を仕掛ければ、1週間もしないうちに、SANSや同様のネットワーク上にあるセンサーの位置を割り出せることを発見した。

　このようにして得られた情報を使えば、攻撃者は、インターネットセンサーに見つからずに、悪質な行為を続けることができる。「これにより、深刻な事態が発生しかねない」とBethencourtは述べる。

　「ワームを拡散させるのにこの方法が悪用されたら厄介だ」とBethencourtは付け加えた。理由として、インターネット上の脅威を最初に発見するのは、センサーである場合が多いことを挙げた。

　日本から出席した研究者らも、同様の結論を、『Vulnerabilities of Passive Internet Threat Monitors』と題した論文で述べた。日本の研究者らは、「センサーのアドレスをすべて記載したリスト」がなくても、センサーの場所を識別できることを指摘した。また、同研究者らは、「驚くほど短期間」でセンサーの位置を正確に割り出せるアルゴリズムも複数考案している。