~AIDE サーバへの侵入・ファイル改ざん検知~
今月の気になるオープンソース情報(2016年6月号)
OSS研究室 森 将史
今回紹介するAIDE(エイド)は、サーバ内のファイルを監視し、その変更や削除を発見し通知するためのオープンソースソフトウェアです。どのファイル、どのディレクトリを監視対象とするかを設定し、定期的にチェックすることができます。そのため、予期せぬ変更を自動的かつ迅速に発見できます。
公開しているWEBサイトの内容を書き換えられてしまうようなファイル改ざん攻撃や、ユーザの誤操作によって必要なファイルが削除されてしまったといったことをチェックすることが出来ます。AIDEにそれらを監視させることで攻撃を察知し、被害を最小限に抑えられます。
また、AIDEは手間を掛けずに導入できます。様々なLinuxディストリビューションの標準パッケージとして採用されているため、インストールはすぐに完了します。
監視の設定は、簡単なものから細かなルール設定の自作まで、柔軟に行なうことができます。設定は、監視したいファイルやディレクトリと、それぞれにつきどんな検査をしたいのかをリストアップする形で行います。検査項目としては、ファイルサイズや更新時間はもちろん、チェックサムの確認などより詳細なものを選ぶ事もできます。
例えば、システム領域など、基本的にファイルが変更されることのない箇所を監視したい場合には、監視領域のいかなる変更に対しても管理者にメール通知をするといった運用ができます。
あるいは、何らかの設定ファイルの値を変更されたり、公開しているWEBページの一部を書き換えられてしまうような攻撃への対策を考えると、単にファイルサイズを監視するだけでは不十分です。そのような場合には、チェックサムの確認を行うことで改ざんを発見できます。このように、監視対象や想定される危険にあわせ、最適な対策を選択することが出来るのです。
ファイルの改ざんは、気づきにくい上に、気づいた時には重大な問題を引き起こす厄介なものです。デージーネットでは、WEBサーバを構築する場合には、AIDEによる監視と検知を提案しています。AIDEを導入することで、いち早く攻撃を感知できるようになり、より強固なセキュリティを維持できるようになります。