攻撃手法パターン

攻撃パターンファイル

攻撃パターンファイルの主な内訳

36,000種類を超える攻撃パターンファイルの内訳は下表の通りです。

脆弱性のカテゴリ チェック数
Fedoraのローカルセキュリティチェック(※1) 7970
Webアプリケーションチェック 3056
Debianのローカルセキュリティチェック 3049
一般的なアプリケーション等のチェック(※2) 2313
CentOSのローカルセキュリティチェック 2200
Ubuntuのローカルセキュリティチェック 2143
Mandrakeのローカルセキュリティチェック 2092
FreeBSDのローカルセキュリティチェック 2009
Gentooのローカルセキュリティチェック 1728
RedHatのローカルセキュリティチェック 1524
SuSEのローカルセキュリティチェック 1503
DOS攻撃 904
Solarisのローカルセキュリティチェック 898
Windows:マイクロソフト速報 700
サービス検出 563
Slackwareのローカルセキュリティチェック 534
バッファオーバーフロー 512
各製品からの検出 387
ITベースラインの保護 379
Nmap関連 330
HP-UXのローカルセキュリティチェック 242
Webサーバー 238
FTP 168
Windows 139
データベース 126
リモートシェル関連 92
デフォルトアカウント 74
Mac OS Xのローカルセキュリティチェック 68
リモートファイルアクセス 61
権限昇格 49
SMTPの問題 47
マルウェア 42
VMwareのローカルセキュリティチェック 37
ピアツーピアファイル共有 21
ファイアウォール 20
CISCO製品 19
ポートスキャナ 15
使用されていないサービス 13
設定関連 12
ポリシー関連 11
RPC 10
ブルートフォースアタック 8
Netware関連 8
フィンガープリントの侵害 6
SNMP関連 6
コンプライアンス 4
資格情報 4
AIXのローカルセキュリティチェック 1

※1 Fedoraのローカルセキュリティチェック Fedora固有の設定項目の確認や、Fedora用のアプリケーションに対する攻撃パターン。 Fedoraに必ず入っているソフトウェアに対する攻撃パターンなどが含まれる。

※2 一般的なアプリケーション等のチェック 各種OSにインストール可能なアプリケーションに対する攻撃パターン。 どのLinuxにもインストール可能なWEBサーバソフトに対する攻撃パターンなどが含まれる。

攻撃パターンファイルの主な攻撃手法

36,000以上の種類となる攻撃パターンファイルの主な攻撃手法は以下の4通りです。

  • 対象のポートが開いているか否か
  • 入っているソフトウェアのバージョンが何か
  • 対象のファイルがアクセス可能か否か
  • 特定のコマンドを打って、返ってきた情報を元に判定を行う

対象のポートが開いているか否か

赤枠で囲まれた部分のポートが開いていることになります。特定のポートが開いていないとWebなどのサービスは提供できないので、ポートが開いていること自体は脆弱性になり得ないケースが殆どです。 ただし、ウイルス感染やマルウェアなどによって意図しないポートが開いていることもあり、その様な場合は非常に危険な状態となっています。

入っているソフトウェアのバージョンが何か

ポートが開いている場合はバージョンのチェックが可能となります。インストールされているソフトウェアのバージョンを取得し、これがある特定のバージョン以前であれば脆弱性有りという判定を行います。 上記はPHPと呼ばれるWebサーバソフトのバージョンが5.3.6以前のものの場合に検出されます。今回導入されているバージョンは5.3.3でした。

対象のファイルがアクセス可能か否か

サーバーソフトによっては、デフォルトの設定を行っただけの場合など、特定のファイル名やフォルダ名で生成が行われ、かつアクセス可能な領域に保管される可能性があります。 この様なファイル、フォルダがアクセス可能であることが危険である場合、アクセス可能であれば脆弱性があるとの判定を行っています。 上記はWEBサーバの設定情報がサーバ上に残っている場合に検出される。今回はファイル名をデフォルトにはしていないが、攻撃パターンにより推定された為に検出されました。

特定のコマンドを打って、返ってきた情報を元に判定を行う

ログインコマンドなど特定のコマンドを実行し、その結果が「ログイン成功」などと返ってきた場合は脆弱性があると判定。デフォルト設定などで運用している場合に起こり得ます。 このサーバは管理者(root)のパスワードが「password」となっており、ログインを実施するとログイン出来てしまったという脆弱性。攻撃側からすれば非常に容易に推定可能なパスワードとなっている為、脆弱性ありと判定されました。