パッシブスキャン・アクティブスキャン

ペネトレーションテスト(アクティブスキャン)だけでは不十分!パッシブスキャンも実施していますか?

一般的に脆弱性診断にはパッシブスキャンと、アクティブスキャン(ペネトレーションテスト)の 2 種類があります。 パッシブスキャンを用いることにより、ゾンビ端末 / 野良 IoT に起因する「野良 IP・野良サブドメイン」を検知します。

これにより、アクティブスキャン(ペネトレーションテスト)実施時の診断漏れを防ぐことが可能です。

 脆弱性診断、言葉の定義について

現在の日本で一般的に“脆弱性診断”と言うと、言葉定義が曖昧なため、色々な捉え方が発生してしまっています。ここでは、その“脆弱性診断”の言葉の使い方定義を以下で説明いたします。

 脆弱性診断の言葉の使われ方

広義の定義脆弱性診断脆弱性診断
狭義の定義脆弱性診断ペネトレーション・テスト
(ペネトレ)
スキャン方法パッシブスキャン
(Passive Scan)		アクティブスキャン
(Active Scan)
現存する商材名
(Web/カタログか らの推測)		AEGIS-EW(PS)
SecurityScorecard
BitSight
Panorays…		AEGIS-EW(AS)
OpenVAS
Nessus

脆弱性診断には2種類あり、パッシブスキャン(Passive Scan)と、アクティブスキャン(Active Scan)に分けられます。AEGIS-EWではこの両モードをサポートします。

パッシブスキャンでは、ドメイン情報からゾンビ端末(野良IP、野良サブドメイン)を検出して診断します。
アクティブスキャンでは、実際に診断端末にハッカーの攻撃手法を仕掛けて診断するペネトレーションテストを行います。

AEGIS-EWの診断分野は分かり易い様に5分野に分類し、ウェブアプリケーションの脆弱性やSQLインジェクション、クロスサイトスクリプティングなど、あらゆる種類の脆弱性を検出し、セキュリティ問題を解決するための修正案を提供します。※詳細な技術情報はお問い合わせください。

 今の日本の“脆弱性診断”の使われ方と、脆弱性診断ツールの種別と基本動作

脆弱性診断 IT資産(ネットワーク端末・環境、アプリ、データ自身…)が外部・内部からのサイバー攻撃に対し、脆弱性を多数の診断項目に基づいて情報の安全性を脅かす恐れのある欠陥を列挙する診断を指します。

広義の意味

サイバーセキュリティへの対応状況全般で行う脆弱性診断を意図しており、IT資産に対して、技術的な診断と、CSIRTに代表されるインシデント発生時の対応訓練等のサイバー対策管理手法のチェックにも脆弱性診断が使用されてケースも散見します。
海外では、この様な技術診断と管理診断の両方を指す場合には、Cybersecurity Risk Rating (サイバーセキュリティリスク評価)が正しい様です。

狭義の意味

技術的な脆弱性診断を示す場合、脆弱性診断ツールの機能としては、スキャン方法(パッシブ、アクティブ)の2種類に分類され、アクティブ・スキャンがペネトレーションテストを指しています。パッシブスキャンは、ハッカーが攻撃する団体を選定する最初に行うアクションであり、この診断結果に準じた対策を打っておくことでハッカーの攻撃リストからの除外を試みる事ができます。
加えてゾンビ端末(該当ドメインに関係した、野良IP・野良サブドメイン・野良テストサーバ、野良バックアップサーバ、等)を検出することで、該当ドメインのインターネット上での棚卸ができます。
サイバーセキュリティ先進国では既にこの2種の脆弱性診断が、定期的に実施され始めています。

 AEGIS-EW 脆弱性診断のスキャン方式について

Passive Scan(パッシブスキャン:受動スキャン)

目的

  • 調査対象のドメイン&サブドメインで各種インターネットサービスを実施している組織のネットワーク脆弱性を測定し、各種端末のハードニング(サイバー防御の向上)を図ります。
  • ネット上に公表されているドメインに対して、これまで閉じ忘れたIPアドレス等(野良IP・ゾンビ端末と呼ばれる)があるか否かを調査します。「野良IP」から正規ネットワークへの侵入を許し、各種サイバー攻撃を許した例も多数あります。
  • 定期診断を実施することで、バラックハッカーに狙われる頻度を低減します。

スキャン技術

  • 該当サーバに対してはネゴシエーション(存在確認)のみのパケットで実際の侵入は試みません。インターネット上に散在する各種認証サーバ群からのデ ータ分析で、該当サーバ仕様を憶測し、脆弱性を提示。その結果「野良化」した端末の発見を実現します。
Active Scan(アクティブスキャン)= ペネトレーションテスト

目的

  • 該当端末に実際に脆弱性の攻撃パターンを仕掛けて、侵入を試みるアクションを実施します。フリーウェアのOpenVASでは、既に 45,000を超す攻撃パターンが登録されており、これらの攻撃パターンも日々増加しています。AEGIS-EWにはOpenVASが組み込まれています。
  • 該当端末での脆弱性が明確になり、対応方法も確実に分かります(サイバーセキュリティ防御能力のアップ:ハードニング)
  • ブラックハッカーもActiveScanの結果を参考に攻撃してくるため、攻撃手法を想定することができ、事前に対策を打つことができます。

スキャン技術

  • 該当ドメインのサブドメイン関係の端末も列挙し、各端末に対して実際の侵入を試みるアクション。

注意点

  • 実際に該当サーバへの負荷、およびトラフィックが増大するので、就業時間外での実施とすること。
  • 稼働中のIDS/IPSツールがあれば、診断実行時はストップしておく必要があります。