SSHにおけるユーザ認証方式の識別

摘要

SSH総当り攻撃への対策は，管理者にとって急務である．従来，総当り攻撃の検出には，その通信が短時間に接続と切断を繰り返す点を利用してきた．しかしながら，機器における処理の自動化にSSHを用いる場合，それらの通信と総当り攻撃の通信との類似性が原因で，既存手法による正確な検出が困難となる．本稿では，個々の通信におけるユーザ認証方式を識別することで上述の問題の解決を図る．その理由は，（1）総当り攻撃が文字列の正誤のみに基づいて正当性を判断する認証を標的とした攻撃であること，（2）SSHを通じた自動処理にはユーザの介在しない認証が不可欠であることに起因する．従って，後者の認証を利用する通信を除外することで，総当り攻撃の検出精度の向上やゞ期待できる．