ＭＣセキュリティ｜新世代の情報セキュリティ

公開しているサーバ上で動作しているプロキシの機能を悪用し、踏み台にされてしまう攻撃が発生しています。

公開サーバ上でプロキシ機能を動作させている場合、想定外のIPアドレスからプロキシ機能を悪用された報告が確認されています。
また、プロキシ機能が意図せず動作していた、公開していないつもりが意図せず公開設定になっていたなどのケースも報告されています。

悪用された場合、自社のサーバを経由して他の公開サーバを攻撃する「踏み台攻撃」を行われる可能性があります。

NetStableでは、この脅威を検知するシグネチャをリリースしています。

• 2000784 Global Bad SSL Proxy Request [検知]
  グローバルIPアドレスから、一般的にプロキシサーバで利用されるポート番号に向けて、プロキシ経由のSSL通信を開始しようとする通信を検知するシグネチャです。

※ ごく一部のネットワーク環境において、正常な通信を検知する可能性があるため、初期設定を[検知]としています。

NetStable MC-70S 上で「Global Bad SSL Proxy Request」が検知された例

Global Bad SSL Proxy Request が検出された場合、ログの「送信元」「受信先」「ポート」に着目して頂き、以下の条件に当てはまる場合は、対処を行ってください。

• 送信元IPアドレスに心当たりがない場合
  外部から踏み台にするための調査・準備や、攻撃を受けている可能性があります。
  ポートの遮断・アクセス制限を行い、不要なサービスを停止してください。

• 受信先IPアドレスのサーバを公開していない場合
  設定の誤りで、意図せず外部に公開する設定になっている可能性があります。
  アクセス制限設定の見直しを行い、不要なサービスを停止してください。

• 受信先IPアドレスのポート番号は公開していない場合
  設定の誤りで、意図せず外部に公開する設定になっている可能性があります。
  アクセス制限設定の見直しを行い、不要なサービスを停止してください。

• 公開サーバのプロキシ機能を悪用するケースが確認されている
• 意図せずプロキシが動作しているケースもある
• 検知された場合は、プロキシ設定やアクセス制限を見直す