ワームの動きを「見える化」すると……





 「自分のマシンがウイルスに感染してしまった」と気付くのは、どんなときだろうか?



 昔は、ウイルスやワームに感染したことに気付くのは、比較的簡単だった。最もわかりやすい例の1つが「Happy99」ワームだ。電子メールの添付ファイルを介して届くこのワームは、特に悪さをするわけではないが、感染すると「Happy New Year 1999!」というメッセージや花火の動画が表示される。

 また、2003年の夏休みの時期に大流行した「Blaster」ワームの場合は、ワームプログラム自体の品質があまり優れていなかったことから、感染すると一部のマシンでWindows OS自体が不安定になり、再起動を繰り返すという症状が見られた。これも、感染を見破る鍵の1つとして利用できた。

 ところが、最近の脅威は「見えない化」が進んでいる。マクロ的には、まだ一般に公表されていない「ゼロデイ」の脆弱性を狙って侵入したり、特定少数を標的にする「ターゲット型攻撃」が増加した。このため、ネットワーク全体をよほど注意深く観測していない限り、不審な動きに気付くのが難しい。

 またミクロ的(=個々の端末)にも、感染しても、なかなかおかしな挙動を見せないようになった。人間の病気でもそうだが、高熱など明らかに異常な症状が出れば、薬を飲もうという気にもなる。だが最近の脅威は、自覚症状のない病気のようなもの。なかなかそれと気付くことができず、対策も遅れがちになってしまう。

●ワームの探索活動を「見える化」

 セキュリティベンダーや対応担当者では、このように見えない化している脅威を何とか「見せる」ための取り組みを進めている。


 その1つが、日立製作所のセキュリティレスポンスチーム、「HIRT(Hitachi Incident Response Team)」が開発したツールだ。HIRTのWebページでは、このツールによってワームの動きを「可視化」する様子が紹介されている。

 HIRTによると、ウイルス/ワームを「可視化」するには、いくつか着目できるポイントがある。1つは、感染後にPCが吐き出すパケットの送信タイミング。2つめは、感染先ノードのポートやプロトコルの推移。そしてもう1つ、次なる感染ターゲットを探し求めるIPアドレス生成/探索活動にも特徴が見られるという。

 この感染ターゲットの探索活動を見極める切り口として、HIRTは3つの方法を提示した。1つは、ノード探索活動の「規則性」。2つめは、探索先IPアドレスの「均一性」や「走査範囲」。3つめは、IPアドレスの生成順序に関する「周期性」だ。こうした視点からワームの活動を見ていくと、それぞれ異なった特徴が見えてくる。

 HIRTが公開した「ワームノード探索活動の可視化ツール」では、このうち「規則性」の部分を、同心円状の図形にマッピングして示す。IPアドレスを構成する4つのオクテットを、円周上に表示される4つのラインとして表現し、各オクテットの値を回転角に置き換えることで、探索活動を「グラフ化」してみたものだ。

 例えば、CodeRedやSQL Slammerといったワームの場合は、無作為にIPアドレスを生成し、次なる感染先を探し求める。一方BlasterやZotobはランダムではなく「近場狙い」で、感染元と同一ネットワークに属するIPアドレスを決めうちで探索する。この様子をツールで可視化すると、違いは一目瞭然だ。

 HIRTではこのようにワームの探索活動を可視化することにより、個々のワームの特徴を視覚的に確認できるとしている。さらに、これを定量化することにより、ワームの検出や種類の特定を行うための判断材料の1つとして活用できるのではないかとしている。

 脅威を可視化する方法はこれだけではなく、ほかにもいろいろな方法が考えられるだろう。いずれにせよ、自分に見えないもの、把握できないものに効果的に対処することはできない。今後もさまざまな形で、脅威を見せていく工夫が求められるだろう。


(2007.4.29/ITmediaエンタープライズ)
[PR]

by fbitnews2006-6 | 2007-04-30 06:21 | インターネット総合  

<< ネット利用の選挙運動、参院選は... <ネットカフェ>生活の拠点にす... >>