FC2ブログ
ウィルス対策・日々気になった出来事を国内・海外問わず、 政治・経済・事件・事故・音楽・映画・インターネット等様々なジャンルについて書いていきたいと思います。

スポンサーサイト


上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

ウィルス対策


ワームの動きを「見える化」すると……

以前メールの送受信を行うと必ずといっていいほどトロイの木馬が発見された時期があった。
もちろんセキュリティソフトを入れていたので、ソフトが感知し処理していた。
毎年新しいウィルス等が出てきてセキュリティもそれに対応したものを入れていかなければ
ならない。いたちごっこですよね。

「自分のマシンがウイルスに感染してしまった」と気付くのは、どんなときだろうか?

 昔は、ウイルスやワームに感染したことに気付くのは、比較的簡単だった。最もわかりやすい例の1つが「Happy99」ワームだ。電子メールの添付ファイルを介して届くこのワームは、特に悪さをするわけではないが、感染すると「Happy New Year 1999!」というメッセージや花火の動画が表示される。

 また、2003年の夏休みの時期に大流行した「Blaster」ワームの場合は、ワームプログラム自体の品質があまり優れていなかったことから、感染すると一部のマシンでWindows OS自体が不安定になり、再起動を繰り返すという症状が見られた。これも、感染を見破る鍵の1つとして利用できた。

 ところが、最近の脅威は「見えない化」が進んでいる。マクロ的には、まだ一般に公表されていない「ゼロデイ」の脆弱性を狙って侵入したり、特定少数を標的にする「ターゲット型攻撃」が増加した。このため、ネットワーク全体をよほど注意深く観測していない限り、不審な動きに気付くのが難しい。

 またミクロ的(=個々の端末)にも、感染しても、なかなかおかしな挙動を見せないようになった。人間の病気でもそうだが、高熱など明らかに異常な症状が出れば、薬を飲もうという気にもなる。だが最近の脅威は、自覚症状のない病気のようなもの。なかなかそれと気付くことができず、対策も遅れがちになってしまう。

最近のもは、感染したらわかる以前のものと比べ、見えない化が進んでいるようで、
なかなか気づくのが難しくなっているらしい。
症状が出ないので、発見が遅れ、対策もおくれがちになってしまう。

●ワームの探索活動を「見える化」

 セキュリティベンダーや対応担当者では、このように見えない化している脅威を何とか「見せる」ための取り組みを進めている。

 その1つが、日立製作所のセキュリティレスポンスチーム、「HIRT(Hitachi Incident Response Team)」が開発したツールだ。HIRTのWebページでは、このツールによってワームの動きを「可視化」する様子が紹介されている。

 HIRTによると、ウイルス/ワームを「可視化」するには、いくつか着目できるポイントがある。1つは、感染後にPCが吐き出すパケットの送信タイミング。2つめは、感染先ノードのポートやプロトコルの推移。そしてもう1つ、次なる感染ターゲットを探し求めるIPアドレス生成/探索活動にも特徴が見られるという。

 この感染ターゲットの探索活動を見極める切り口として、HIRTは3つの方法を提示した。1つは、ノード探索活動の「規則性」。2つめは、探索先IPアドレスの「均一性」や「走査範囲」。3つめは、IPアドレスの生成順序に関する「周期性」だ。こうした視点からワームの活動を見ていくと、それぞれ異なった特徴が見えてくる。

 HIRTが公開した「ワームノード探索活動の可視化ツール」では、このうち「規則性」の部分を、同心円状の図形にマッピングして示す。IPアドレスを構成する4つのオクテットを、円周上に表示される4つのラインとして表現し、各オクテットの値を回転角に置き換えることで、探索活動を「グラフ化」してみたものだ。

 例えば、CodeRedやSQL Slammerといったワームの場合は、無作為にIPアドレスを生成し、次なる感染先を探し求める。一方BlasterやZotobはランダムではなく「近場狙い」で、感染元と同一ネットワークに属するIPアドレスを決めうちで探索する。この様子をツールで可視化すると、違いは一目瞭然だ。

 HIRTではこのようにワームの探索活動を可視化することにより、個々のワームの特徴を視覚的に確認できるとしている。さらに、これを定量化することにより、ワームの検出や種類の特定を行うための判断材料の1つとして活用できるのではないかとしている。

 脅威を可視化する方法はこれだけではなく、ほかにもいろいろな方法が考えられるだろう。いずれにせよ、自分に見えないもの、把握できないものに効果的に対処することはできない。今後もさまざまな形で、脅威を見せていく工夫が求められるだろう。


この見えない脅威を見えるようにしようという取り組みが進められている。
そのひとつが、日立製作所のセキュリティレスポンスチームが開発したツール、
HIRTのwebページでウィルスやワームを可視化させる様子が紹介されているそうです。
可視化する方法は、他にもいろいろな方法が考えられる。
見えないものをいかに見えるようにし、対処できるようにしていくか、様々な研究が
なされているようです。
ウィルスやワームも日々進化し、それに対処するためにウィルス対策も日々進化して
いるのですね。

http://headlines.yahoo.co.jp/hl?a=20070429-00000009-zdn_ep-sci

引用・Yahoo!ニュース
スポンサーサイト
Copyright © 気になった事 All Rights Reserved.
Template Desingned by きゃんたまんの実験室
上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。