WO2022219819A1

WO2022219819A1 - 判定装置、判定方法、および、判定プログラム

Info

Publication number: WO2022219819A1
Application number: PCT/JP2021/015759
Authority: WO
Inventors: 楊鐘本
Original assignee: 日本電信電話株式会社
Priority date: 2021-04-16
Filing date: 2021-04-16
Publication date: 2022-10-20
Also published as: US20240154976A1; JP7505642B2; JPWO2022219819A1

Abstract

判定装置（１０）は、攻撃の検知対象の通信ログから、同じセッションの一連の通信ログを抽出し、攻撃検知シグネチャにより、ブラインド攻撃を検知する。また、判定装置（１０）は、ブラインド攻撃を検知した通信ログから、ブラインド攻撃の攻撃対象の箇所および攻撃の内容を特定する。次に、判定装置（１０）は、同じセッションの一連の通信ログのうち、ブラインド攻撃を検知した通信ログについて、攻撃対象の箇所が一致する通信ログを抽出する。次に、判定装置（１０）は、抽出した通信ログに、攻撃の内容が複数種類あり、かつ、レスポンスのステータスコードおよびレスポンスサイズが複数あると判定した場合、一連の通信ログの示す通信によるブラインド攻撃が成功したと判定する。

Description

判定装置、判定方法、および、判定プログラム

　本発明は、ブラインド攻撃が成功したか否かを判定するための、判定装置、判定方法、および、判定プログラムに関する。

　従来、ウェブサーバ等への攻撃を検知する技術が提案されている。しかし、すべての攻撃を検知してアラートを発すると、保守者や監視者がアラートを見逃してしまう場合がある。したがって、攻撃が成功した場合のみ、アラートを発することが好ましい。ここで、従来、攻撃が成功したか否かを、ウェブサーバ等へ攻撃を行った際のレスポンスを検査することにより判定する技術がある（特許文献１参照）。

特許第６７０８７９４号公報

　しかし、従来技術は、攻撃による痕跡がウェブサーバ等へ攻撃を行った際のレスポンスに出現することを前提としている。例えば、ブラインドSQLインジェクション、ブラインドOSコマンドインジェクション等、攻撃対象に対し、それぞれ異なるパラメタを設定したリクエストを送信し、そのレスポンスの違いから、情報を探る攻撃（ブラインド攻撃）の場合、攻撃の痕跡が明示的にレスポンスに出現しない。このため、従来技術では、攻撃が成功したか否かが判定できなかった。

[例１：ブラインドSQLインジェクションの場合]
　例えば、ウェブアプリケーション/index.phpにSQLインジェクションの脆弱性が存在し、以下のようなブラインド攻撃を受けた場合を考える。

GET　/index.php?id=“1　AND　user()　=　‘admin’　#”
GET　/index.php?id=“1　AND　user()　!=　‘admin’#”

　このブラインド攻撃が成功すると、DB（データベース）に接続しているユーザがadminであるという情報が漏洩する。この攻撃は成功しても、レスポンスの内容に攻撃の痕跡（例えば、adminという文字列）が出現しない。

[例２：ブラインドOSコマンドインジェクション]
　また、以下のようなブラインド攻撃を受けた場合を考える。

GET　/index.php?name=x;　X=$(cat　/etc/passwd|tail　-n　1|cut　-f　1　-d":");test　$X　=　”admin”
GET　/index.php?name=x;　X=$(cat　/etc/passwd|tail　-n　1|cut　-f　1　-d":");test　$X　!=　”admin”

　このブラインド攻撃が成功すると、最近作成されたユーザ名がadminであるという情報が漏洩する。例1と同様に、この攻撃も成功しても、レスポンスの内容に攻撃の痕跡（例えば、adminという文字列）が出現しない。

　そこで、本発明は、前記した問題を解決し、ブラインド攻撃が成功したか否かを判定することを課題とする。

　前記した課題を解決するため、本発明は、攻撃の検知対象の通信ログから、同じセッションの一連の通信ログを抽出するセッション抽出部と、前記通信ログのリクエスト先のURLを用いて、ブラインド攻撃の通信ログを検知し、ブラインド攻撃を検知した前記通信ログから、ブラインド攻撃の攻撃対象の箇所および攻撃の内容を特定する攻撃検知部と、抽出された前記同じセッションの一連の通信ログのうち、前記攻撃対象の箇所が一致する通信ログを抽出し、抽出した前記通信ログに、攻撃の内容が複数種類あり、かつ、レスポンスのステータスコードおよびレスポンスサイズが複数あると判定した場合、前記一連の通信ログの示す通信によりブラインド攻撃が成功したと判定する成否判定部と、前記判定の結果を出力する判定結果出力部とを備えることを特徴とする。

　本発明によれば、ブラインド攻撃が成功したか否かを判定することができる。

図１は、判定装置の動作概要を説明するための図である。図２は、判定装置の構成例を示す図である。図３は、図２の通信ログの例を示す図である。図４は、図２の検知データの例を示す図である。図５は、図２の成否判定部による成否判定を説明するための図である。図６は、判定装置の処理手順の例を示すフローチャートである。図７は、判定装置を含むシステムの構成例を示す図である。図８は、判定プログラムを実行するコンピュータの構成例を示す図である。

　以下、図面を参照しながら、本発明を実施するための形態（実施形態）について説明する。本発明は、以下に説明する実施形態に限定されない。

[概要]
　本実施形態の判定装置１０の概要を説明する。なお、以下の説明において、ブラインド攻撃とは、攻撃対象に対し、異なるパラメタを設定したリクエストを送信し、そのリクエストに対するレスポンスの違いから、情報を探る攻撃である。

　例えば、図１に示すように、判定装置１０は、ウェブサーバとの通信の通信ログから、ウェブサーバへのリクエスト（（１））と、そのリクエストに対するレスポンスのステータスコードおよびレスポンスサイズ（（２））とを取得する。そして、判定装置１０は、取得したデータに基づき、同じセッション間でブラインド攻撃を特定し、ステータスコードやレスポンスサイズから攻撃の成否を判定する（（３））。

　例えば、判定装置１０は、取得した通信ログの中から、同じセッションの一連の通信ログ（図１の符号１０１参照）を抽出する。そして、判定装置１０は、抽出した一連の通信ログのリクエスト先のURL等から、一連の通信がブラインド攻撃であるか否かを判定する。

　ここで判定装置１０が、一連の通信をブラインド攻撃と判定し、攻撃対象箇所が同じ（例えば、URLのパラメタid）であり、攻撃の内容（例えば、リクエストに設定されたパラメタ等）が異なり、かつ、レスポンスのステータスコードおよびレスポンスサイズが異なる場合、判定装置１０は、符号１０１に示す一連の通信によるブラインド攻撃は成功したと判定する。

　このようにすることで、判定装置１０は、ブラインド攻撃を検知し、そのブラインド攻撃が成功したか否かを判定することができる。

[構成例]
　次に、図２を用いて、判定装置１０の構成例を説明する。判定装置１０は、記憶部１１と、制御部１２とを備える。記憶部１１は、制御部１２が各種処理を実行する際に参照するデータや、各種処理の実行により生成されたデータを記憶する。

　例えば、記憶部１１は、攻撃の検知対象の通信ログである通信ログ、制御部１２により抽出されたセッションデータ（詳細は後記）、検知データ（詳細は後記）、攻撃が成功したか否かの判定結果データ等を記憶する。

　通信ログは、例えば、図３に示すように、攻撃の検知対象の通信ログの識別情報（No.）ごとに、通信の発生時刻、リクエストの送信元および送信先、リクエスト先のURLと、レスポンスのステータスコード、レスポンスサイズ等を含む。なお、通信ログは、例えば、判定装置１０の入出力部（図示省略）経由で入力される。

　制御部１２は、判定装置１０全体の制御を司る。制御部１２は、セッション抽出部１２１と、ブラインド攻撃検知部１２２と、成否判定部１２３と、判定結果出力部１２４とを備える。

　セッション抽出部１２１は、通信ログから同じセッションの通信ログを抽出する。例えば、セッション抽出部１２１は、通信ログから、送信元および送信先が同じで所定時間以内に行われた一連の通信の通信ログを、同じセッションの通信ログとして抽出する。

　例えば、セッション抽出部１２１は、図３に示す通信ログから、送信元および送信先が同じで、T=5以内に通信が行われた[1,2,5]、[3,4]、[6]の通信ログを、それぞれ同じセッションの通信の通信ログとして抽出する。そして、セッション抽出部１２１は、抽出した通信ログそれぞれにセッションの識別情報（例えば、S1,S2,S3）を付与する。

　その後、セッション抽出部１２１は、セッションの識別情報と当該セッションに対応する通信ログの識別情報とを示した情報（例えば、S1=[1,2,5]、S2=[3,4]、S3=[6]）をセッションデータとして記憶部１１に格納する。

　図２の説明に戻る。ブラインド攻撃検知部１２２は、例えば、既存のシグネチャ検知を利用して、通信ログの示すリクエストがブラインド攻撃か否かを判定する。

　例えば、検知シグネチャを、正規表現“AND　.*　[!=<>]+　.*　#”とした場合を考える。この場合、ブラインド攻撃検知部１２２は、図３に示す通信ログから、上記の検知シグネチャを持つ[2,3,4,5]を、ブラインド攻撃の通信ログとして検知する（図４参照）。

　なお、ブラインド攻撃検知部１２２は、例えば、図４に示すように、ブラインド攻撃の通信ログから、ブラインド攻撃の対象箇所およびブラインド攻撃の内容の特定も行う。そして、ブラインド攻撃検知部１２２は、ブラインド攻撃を検知した通信ログの識別情報（No.）、ブラインド攻撃の対象箇所、ブラインド攻撃の内容等を示した情報（図４参照）を検知データとして記憶部１１に格納する。

　なお、ブラインド攻撃検知部１２２がブラインド攻撃の検知に用いるシグネチャは、上記の正規表現“AND　.*　[!=<>]+　.*　#”の他、正規表現“test　\$.+　!?=　”、正規表現“test　\$.+　-(z|n|eq|ne|gt|ge|lt|le)”等であってもよい。ブラインド攻撃検知部１２２が、ブラインド攻撃シグネチャとして、正規表現“test　\$.+　!?=　”、正規表現“test　\$.+　-(z|n|eq|ne|gt|ge|lt|le)”を用いることで、ブラインドOSコマンドインジェクションによる攻撃を検知することができる。

　図２の説明に戻る。成否判定部１２３は、同じセッションの通信ログのうち、攻撃対象の箇所が一致する通信ログを抽出する。そして、成否判定部１２３は、抽出した通信ログの攻撃の内容が複数種類であり、かつ、レスポンスのステータスコードおよびレスポンスサイズが複数あると判定した場合、ブラインド攻撃に成功したと判定する。一方、成否判定部１２３は、抽出した通信ログの攻撃の内容が複数種類ではない、レスポンスのステータスコードが複数ない、または、レスポンスサイズが複数ないと判定した場合、ブラインド攻撃に失敗したと判定する。

　例えば、成否判定部１２３は、セッションデータを参照して、通信ログから同じセッションの通信ログを抽出する。そして、成否判定部１２３は、検知データを参照して、抽出した通信ログから、ブラインド攻撃が検知され、かつ、攻撃対象の箇所が一致する通信ログを特定する。

　例えば、図５に示す通信ログにおいて、No.2,5の通信ログのブラインド攻撃は、セッションS1に属し、攻撃対象箇所がパラメタidで一致する。また、No.2,5の通信ログのブラインド攻撃の内容がそれぞれ異なり、かつ、ステータスコードおよびレスポンスサイズがそれぞれ異なることから、成否判定部１２３は攻撃に成功したと判定する。

　一方、図５に示す通信ログにおいて、No.3,4の通信ログのブラインド攻撃は、セッションS2に属し、攻撃対象箇所がパラメタpwで一致する。また、No.3,4の通信ログのブラインド攻撃の内容はそれぞれ異なるが、ステータスコードおよびレスポンスサイズがそれぞれ同じであるので、成否判定部１２３は攻撃に失敗した判定する。

　図２の説明に戻る。判定結果出力部１２４は、成否判定部１２３による判定結果を出力する。判定結果出力部１２４は、通信ログのうち、No.2,5の通信ログは、パラメタidに対するブラインド攻撃を示し、攻撃に成功したという判定結果を出力する。

　このようにすることで、判定装置１０は、既存のシステムを改変することなく、ブラインド攻撃を検知し、攻撃が行われているセッション間の通信の挙動からブラインド攻撃が成功したか否かを判定することができる。

　[処理手順の例]
　次に、図６を用いて判定装置１０の処理手順の例を説明する。まず、判定装置１０が新たな通信ログを取得すると（Ｓ１１）、セッション抽出部１２１でセッションデータをもとに通信ログが新たなセッションか既存のセッションの一部かを判定し、判定の結果に応じて、セッションデータを更新する（Ｓ１２）。

　Ｓ１２の後、Ｓ１１で取得した新たな通信ログが、ブラインド攻撃検知部１２２でブラインド攻撃として検知されたか否かを判定する（Ｓ１３）。ブラインド攻撃検知部１２２で当該新たな通信ログがブラインド攻撃として検知された場合（Ｓ１３でＹｅｓ）、成否判定部１２３でセッションデータをもとにブラインド攻撃の成否を判定する（Ｓ１４）。そして、判定結果出力部１２４で、Ｓ１４の判定の結果を出力する（Ｓ１５）。一方、ブラインド攻撃検知部１２２で当該新たな通信ログがブラインド攻撃として検知されなかった場合（Ｓ１３でＮｏ）、処理を終了する。

　判定装置１０が上記の処理を行うことで、既存のシステムを改変することなく、ブラインド攻撃を検知し、攻撃が行われているセッション間の通信の挙動からブラインド攻撃が成功したか否かを判定することができる。その結果、保守者や管理者は、上記の攻撃に関し、優先すべきアラートとそうでないアラートを分別できるので、セキュリティオペレーションを効率的に行うことができる。

［その他の実施形態］
　なお、判定装置１０におけるブラインド攻撃検知部１２２は、判定装置１０の外部に設置されていてもよい。例えば、ブラインド攻撃検知部１２２は、図７の（１）および（２）に示すように、判定装置１０の外部に設置されるWAF（Web　Application　Firewall）等の攻撃検知機器により実現されてもよい。また、判定装置１０は、図７の（１）に示すように、攻撃の成否の判定対象となるウェブサーバと直接接続する構成（インライン構成）としてもよいし、図７の（２）に示すように、ウェブサーバとWAF等の攻撃検知機器経由で接続する構成（タップ構成）としてもよい。

［システム構成等］
　また、図示した各部の各構成要素は機能概念的なものであり、必ずしも物理的に図示のように構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部又は一部を、各種の負荷や使用状況等に応じて、任意の単位で機能的又は物理的に分散・統合して構成することができる。さらに、各装置にて行われる各処理機能は、その全部又は任意の一部が、ＣＰＵ及び当該ＣＰＵにて実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。

　また、前記した実施形態において説明した処理のうち、自動的に行われるものとして説明した処理の全部又は一部を手動的に行うこともでき、あるいは、手動的に行われるものとして説明した処理の全部又は一部を公知の方法で自動的に行うこともできる。この他、上記文書中や図面中で示した処理手順、制御手順、具体的名称、各種のデータやパラメタを含む情報については、特記する場合を除いて任意に変更することができる。

［プログラム］
　前記した判定装置１０は、パッケージソフトウェアやオンラインソフトウェアとしてプログラムを所望のコンピュータにインストールさせることによって実装できる。例えば、上記のプログラムを情報処理装置に実行させることにより、情報処理装置を判定装置１０として機能させることができる。ここで言う情報処理装置には、デスクトップ型又はノート型のパーソナルコンピュータが含まれる。また、その他にも、情報処理装置にはスマートフォン、携帯電話機やPHS（Personal　Handyphone　System）等の移動体通信端末、さらには、PDA（Personal　Digital　Assistant）等の端末等がその範疇に含まれる。

　また、判定装置１０は、ユーザが使用する端末装置をクライアントとし、当該クライアントに上記の処理に関するサービスを提供するサーバ装置として実装することもできる。この場合、サーバ装置は、Webサーバとして実装することとしてもよいし、アウトソーシングによって上記の処理に関するサービスを提供するクラウドとして実装することとしてもかまわない。

　図８は、判定プログラムを実行するコンピュータの一例を示す図である。コンピュータ１０００は、例えば、メモリ１０１０、ＣＰＵ１０２０を有する。また、コンピュータ１０００は、ハードディスクドライブインタフェース１０３０、ディスクドライブインタフェース１０４０、シリアルポートインタフェース１０５０、ビデオアダプタ１０６０、ネットワークインタフェース１０７０を有する。これらの各部は、バス１０８０によって接続される。

　メモリ１０１０は、ROM（Read　Only　Memory）１０１１及びRAM（Random　Access　Memory）１０１２を含む。ROM１０１１は、例えば、BIOS（Basic　Input　Output　System）等のブートプログラムを記憶する。ハードディスクドライブインタフェース１０３０は、ハードディスクドライブ１０９０に接続される。ディスクドライブインタフェース１０４０は、ディスクドライブ１１００に接続される。例えば磁気ディスクや光ディスク等の着脱可能な記憶媒体が、ディスクドライブ１１００に挿入される。シリアルポートインタフェース１０５０は、例えばマウス１１１０、キーボード１１２０に接続される。ビデオアダプタ１０６０は、例えばディスプレイ１１３０に接続される。

　ハードディスクドライブ１０９０は、例えば、OS１０９１、アプリケーションプログラム１０９２、プログラムモジュール１０９３、プログラムデータ１０９４を記憶する。すなわち、上記の判定装置１０が実行する各処理を規定するプログラムは、コンピュータにより実行可能なコードが記述されたプログラムモジュール１０９３として実装される。プログラムモジュール１０９３は、例えばハードディスクドライブ１０９０に記憶される。例えば、判定装置１０における機能構成と同様の処理を実行するためのプログラムモジュール１０９３が、ハードディスクドライブ１０９０に記憶される。なお、ハードディスクドライブ１０９０は、SSD（Solid　State　Drive）により代替されてもよい。

　また、上述した実施形態の処理で用いられるデータは、プログラムデータ１０９４として、例えばメモリ１０１０やハードディスクドライブ１０９０に記憶される。そして、ＣＰＵ１０２０が、メモリ１０１０やハードディスクドライブ１０９０に記憶されたプログラムモジュール１０９３やプログラムデータ１０９４を必要に応じてRAM１０１２に読み出して実行する。

　なお、プログラムモジュール１０９３やプログラムデータ１０９４は、ハードディスクドライブ１０９０に記憶される場合に限らず、例えば着脱可能な記憶媒体に記憶され、ディスクドライブ１１００等を介してＣＰＵ１０２０によって読み出されてもよい。あるいは、プログラムモジュール１０９３及びプログラムデータ１０９４は、ネットワーク（LAN（Local　Area　Network）、WAN（Wide　Area　Network）等）を介して接続される他のコンピュータに記憶されてもよい。そして、プログラムモジュール１０９３及びプログラムデータ１０９４は、他のコンピュータから、ネットワークインタフェース１０７０を介してＣＰＵ１０２０によって読み出されてもよい。

１０　判定装置
１１　記憶部
１２　制御部
１２１　セッション抽出部
１２２　ブラインド攻撃検知部
１２３　成否判定部
１２４　判定結果出力部

Claims

　攻撃の検知対象の通信ログから、同じセッションの一連の通信ログを抽出するセッション抽出部と、
　前記通信ログのリクエスト先のURLを用いて、ブラインド攻撃の通信ログを検知し、ブラインド攻撃を検知した前記通信ログから、ブラインド攻撃の攻撃対象の箇所および攻撃の内容を特定する攻撃検知部と、
　抽出された前記同じセッションの一連の通信ログのうち、前記ブラインド攻撃の攻撃対象の箇所が一致する通信ログを抽出し、抽出した前記通信ログに、攻撃の内容が複数種類あり、かつ、レスポンスのステータスコードおよびレスポンスサイズが複数あると判定した場合、前記一連の通信ログの示す通信によりブラインド攻撃が成功したと判定する成否判定部と、
　前記判定の結果を出力する判定結果出力部と
　を備えることを特徴とする判定装置。
　前記攻撃検知部は、
　前記通信ログのリクエスト先のURLに対し、攻撃検知シグネチャを適用することにより、ブラインド攻撃の通信ログを検知する
　ことを特徴とする請求項１に記載の判定装置。
　前記攻撃検知部は、
　正規表現“AND.*[!=<>]+.*#”、“test　\$.+　!?=”、および、正規表現“test　\$.+　-(z|n|eq|ne|gt|ge|lt|le)”のうち、少なくともいずれか１つを攻撃検知シグネチャとして用いて、ブラインド攻撃の通信ログを検知する
　ことを特徴とする請求項１に記載の判定装置。
　判定装置により実行される判定方法であって、
　攻撃の検知対象の通信ログから、同じセッションの一連の通信ログを抽出する工程と、
　前記通信ログのリクエスト先のURLを用いて、ブラインド攻撃の通信ログを検知し、ブラインド攻撃を検知した前記通信ログから、ブラインド攻撃の攻撃対象の箇所および攻撃の内容を特定する工程と、
　抽出された前記同じセッションの一連の通信ログのうち、前記ブラインド攻撃の攻撃対象の箇所が一致する通信ログを抽出し、抽出した前記通信ログに、攻撃の内容が複数種類あり、かつ、レスポンスのステータスコードおよびレスポンスサイズが複数あると判定した場合、前記一連の通信ログの示す通信によりブラインド攻撃が成功したと判定する工程と、
　前記判定の結果を出力する工程と
を含むことを特徴とする判定方法。
　攻撃の検知対象の通信ログから、同じセッションの一連の通信ログを抽出する工程と、
　前記通信ログのリクエスト先のURLを用いて、ブラインド攻撃の通信ログを検知し、ブラインド攻撃を検知した前記通信ログから、ブラインド攻撃の攻撃対象の箇所および攻撃の内容を特定する工程と、
　抽出された前記同じセッションの一連の通信ログのうち、前記ブラインド攻撃の攻撃対象の箇所が一致する通信ログを抽出し、抽出した前記通信ログに、攻撃の内容が複数種類あり、かつ、レスポンスのステータスコードおよびレスポンスサイズが複数あると判定した場合、前記一連の通信ログの示す通信によりブラインド攻撃が成功したと判定する工程と、
　前記判定の結果を出力する工程と
　をコンピュータに実行させるための判定プログラム。