right TOPページ  新規設置  相互リンク  LINKAPI  ニュース速報  グルメ取材  KANAPEDIA  完全確率  MAVERICK  ヘルプ  RSS1.0
流し読みニュース > 記事 ワームの動きを「見える化」すると……(ITmediaエンタープライズ)
この記事を、ひらがな解除する
ワームのうごきを「みえるか」すると……(ITmediaえんたーぷらいず)

ワームの動きを「見える化」すると……(ITmediaエンタープライズ

29日(日)11時4分



 「じぶんのマシンがウイルスにかんせんしてしまった」ときづくのは、どんなときだろうか?

【たのがぞう、かくだいがぞうがはいったきじ】

 むかしは、ウイルスやワームにかんせんしたことにきづくのは、ひかくてきかんたんだった。もっともわかりやすいれいの1つが「Happy99」ワームだ。でんしメールのてんぷファイルをかいしてとどくこのワームは、とくにわるさをするわけではないが、かんせんすると「HappyNewYear1999!」というメッセージやはなびのどうががひょうじされる。

 また、2003ねんのなつやすみのじきにだいりゅうこうした「Blaster」ワームのばあいは、ワームプログラムじたいのひんしつがあまりスグレていなかったことから、かんせんするといちぶのマシンでWindowsOSじたいがふあんていになり、さいきどうをくりかえすというしょうじょうがみられた。これも、かんせんをみやぶるかぎの1つとしてりようできた。

 ところが、さいきんのきょういは「みえないか」がすすんでいる。マクロてきには、まだいっぱんにこうひょうされていない「ゼロデイ」のぜいじゃくせいをねらってしんにゅうしたり、とくていしょうすうをひょうてきにする「ターゲットがたこうげき」がぞうかした。このため、ネットワークぜんたいをよほどちゅういぶかくかんそくしていないかぎり、ふしんなうごきにきづくのがむずかしい。

 またミクロてき(=ここのたんまつ)にも、かんせんしても、なかなかおかしなきょどうをみせないようになった。にんげんのびょうきでもそうだが、こうねつなどあきらかにいじょうなしょうじょうがでれば、くすりをのもうというきにもなる。だがさいきんのきょういは、じかくしょうじょうのないびょうきのようなもの。なかなかそれときづくことができず、たいさくもおくれがちになってしまう。

●ワームのたんさくかつどうを「みえるか」

 セキュリティベンダーやたいおうたんとうしゃでは、このようにみえないかしているきょういをなんとか「みせる」ためのとりくみをすすめている。

 その1つが、ひたちせいさくしょのセキュリティレスポンスチーム、「HIRT(HitachiIncidentResponseTeam)」がかいはつしたツールだ。HIRTのWebページでは、このツールによってワームのうごきを「かしか」するようすがしょうかいされている。

 HIRTによると、ウイルス/ワームを「かしか」するには、いくつかちゃくもくできるポイントがある。1つは、かんせんごにPCがはきだすパケットのそうしんタイミング。2つめは、かんせんさきノードのポートやプロトコルのすいい。そしてもう1つ、つぎなるかんせんターゲットをさがしもとめるIPアドレスせいせい/たんさくかつどうにもとくちょうがみられるという。

 このかんせんターゲットのたんさくかつどうをみきわめるきりくちとして、HIRTは3つのほうほうをていじした。1つは、ノードたんさくかつどうの「きそくせい」。2つめは、たんさくさきIPアドレスの「きんいつせい」や「そうさはんい」。3つめは、IPアドレスのせいせいじゅんじょにかんする「しゅうきせい」だ。こうしたしてんからワームのかつどうをみていくと、それぞれことなったとくちょうがみえてくる。

 HIRTがこうかいした「ワームノードたんさくかつどうのかしかツール」では、このうち「きそくせい」のぶぶんを、どうしんえんじょうのづけいにマッピングしてしめす。IPアドレスをこうせいする4つのオクテットを、えんしゅうじょうにひょうじされる4つのラインとしてひょうげんし、かくオクテットのねをかいてんかくにおきかえることで、たんさくかつどうを「グラフか」してみたものだ。

 たとえば、CodeRedやSQLSlammerといったワームのばあいは、むさくいにIPアドレスをせいせいし、つぎなるかんせんさきをさがしもとめる。いっぽうBlasterやZotobはランダムではなく「こんじょうねらい」で、かんせんもととどういつネットワークにぞくするIPアドレスをきめうちでたんさくする。このようすをツールでかしかすると、ちがいはいちもくりょうぜんだ。

 HIRTではこのようにワームのたんさくかつどうをかしかすることにより、ここのワームのとくちょうをしかくてきにかくにんできるとしている。さらに、これをていりょうかすることにより、ワームのけんしゅつやしゅるいのとくていをおこなうためのはんだんざいりょうの1つとしてかつようできるのではないかとしている。

 きょういをかしかするほうほうはこれだけではなく、ほかにもいろいろなほうほうがかんがえられるだろう。いずれにせよ、じぶんにみえないもの、はあくできないものにこうかてきにたいしょすることはできない。こんごもさまざまなかたちで、きょういをみせていくくふうがもとめられるだろう。

 「みえないか」するきょうい、「みえるか」でたいこうを
 2007ねん、きょういはさらに「みえないか」する
 「やつらはほんきになった」――セキュリティきょういのもくてきにおおきなへんか

http://www.itmedia.co.jp/enterprise/

この記事を、ひらがな解除する

Blaster Code Red HIRT Happy Happy New Year Hitachi Incident Response Team SQL Slammer Webページ Windows Zotob アドレス アドレス生成 オクテット グラフ セキュリティベンダー セキュリティレスポンスチーム セキュリティ脅威 ゼロデイ ターゲット ツール ネットワーク全体 ノード ノード探索活動 パケット プロトコル ポート マクロ マシン マッピング ミクロ メッセージ ランダム ワーム ワームノード探索活動 ワームプログラム自体 異常 一般 一部 一目瞭然 円周 可視 花火 画像 回転 開発 拡大画像 確認 活動 活用 感染 感染ターゲット 簡単 観測 規則 記事 起動 挙動 脅威 均一 検出 個々 公開 公表 効果 工夫 攻撃 構成 高熱 今後 最近 作為 視覚 視点 時期 自覚症状 自体 自分 種類 周期 症状


©2006 seoparts
right TOPページ  新規設置  相互リンク  LINKAPI  ニュース速報  KANAPEDIA  グルメ取材  ショッピング  完全確率  MAVERICK  ダイエット  ヘルプ  RSS1.0