2007年04月29日(日) 11時04分
ワームの動きを「見える化」すると……(ITmediaエンタープライズ)
「自分のマシンがウイルスに感染してしまった」と気付くのは、どんなときだろうか?
【他の画像、拡大画像が入った記事】 昔は、ウイルスやワームに感染したことに気付くのは、比較的簡単だった。最もわかりやすい例の1つが「Happy99」ワームだ。電子メールの添付ファイルを介して届くこのワームは、特に悪さをするわけではないが、感染すると「Happy New Year 1999!」というメッセージや花火の動画が表示される。
また、2003年の夏休みの時期に大流行した「Blaster」ワームの場合は、ワームプログラム自体の品質があまり優れていなかったことから、感染すると一部のマシンでWindows OS自体が不安定になり、再起動を繰り返すという症状が見られた。これも、感染を見破る鍵の1つとして利用できた。
ところが、最近の脅威は「見えない化」が進んでいる。マクロ的には、まだ一般に公表されていない「ゼロデイ」の脆弱性を狙って侵入したり、特定少数を標的にする「ターゲット型攻撃」が増加した。このため、ネットワーク全体をよほど注意深く観測していない限り、不審な動きに気付くのが難しい。
またミクロ的(=個々の端末)にも、感染しても、なかなかおかしな挙動を見せないようになった。人間の病気でもそうだが、高熱など明らかに異常な症状が出れば、薬を飲もうという気にもなる。だが最近の脅威は、自覚症状のない病気のようなもの。なかなかそれと気付くことができず、対策も遅れがちになってしまう。
●ワームの探索活動を「見える化」
セキュリティベンダーや対応担当者では、このように見えない化している脅威を何とか「見せる」ための取り組みを進めている。
その1つが、日立製作所のセキュリティレスポンスチーム、「HIRT(Hitachi Incident Response Team)」が開発したツールだ。HIRTのWebページでは、このツールによってワームの動きを「可視化」する様子が紹介されている。
HIRTによると、ウイルス/ワームを「可視化」するには、いくつか着目できるポイントがある。1つは、感染後にPCが吐き出すパケットの送信タイミング。2つめは、感染先ノードのポートやプロトコルの推移。そしてもう1つ、次なる感染ターゲットを探し求めるIPアドレス生成/探索活動にも特徴が見られるという。
この感染ターゲットの探索活動を見極める切り口として、HIRTは3つの方法を提示した。1つは、ノード探索活動の「規則性」。2つめは、探索先IPアドレスの「均一性」や「走査範囲」。3つめは、IPアドレスの生成順序に関する「周期性」だ。こうした視点からワームの活動を見ていくと、それぞれ異なった特徴が見えてくる。
HIRTが公開した「ワームノード探索活動の可視化ツール」では、このうち「規則性」の部分を、同心円状の図形にマッピングして示す。IPアドレスを構成する4つのオクテットを、円周上に表示される4つのラインとして表現し、各オクテットの値を回転角に置き換えることで、探索活動を「グラフ化」してみたものだ。
例えば、CodeRedやSQL Slammerといったワームの場合は、無作為にIPアドレスを生成し、次なる感染先を探し求める。一方BlasterやZotobはランダムではなく「近場狙い」で、感染元と同一ネットワークに属するIPアドレスを決めうちで探索する。この様子をツールで可視化すると、違いは一目瞭然だ。
HIRTではこのようにワームの探索活動を可視化することにより、個々のワームの特徴を視覚的に確認できるとしている。さらに、これを定量化することにより、ワームの検出や種類の特定を行うための判断材料の1つとして活用できるのではないかとしている。
脅威を可視化する方法はこれだけではなく、ほかにもいろいろな方法が考えられるだろう。いずれにせよ、自分に見えないもの、把握できないものに効果的に対処することはできない。今後もさまざまな形で、脅威を見せていく工夫が求められるだろう。
「見えない化」する脅威、「見える化」で対抗を 2007年、脅威はさらに「見えない化」する 「奴らは本気になった」——セキュリティ脅威の目的に大きな変化 http://www.itmedia.co.jp/enterprise/
http://headlines.yahoo.co.jp/hl?a=20070429-00000009-zdn_ep-sci