敵を知り、防御法を知れば、危うからず! ウイルス ワーム の 近年、「MSBlaster」や「Sasser」などに代表されるコンピュータウイルスによる 被害が拡大している。本連載では、まずそれらのウイルスの特徴や動作を分析し、各 ウイルスの特徴に合わせた防御法について解説していく。今回は、ネットワーク側で のウイルス/ワーム対策について説明する。 第4回 ネットワーク側でのウイルス/ワーム対策 エンドポイントPCでの対策を補完する ネットワーク側における対策 前回は、エンドポイントPCでの主なウイルス対策技術 として、 「アンチウイルスソフト」 「パーソナルファイアウ ォール」 「パーソナルIDS(Intrusion Detection System: ●ワーム検知/隔離システム ●検疫ネットワーク セキュリティホール悪用型ワームの 攻撃を防ぐファイアウォール/IPS 侵入検知システム) 」の3つを紹介した。実際にウイルスに セキュリティホールを悪用して感染するタイプのワー 感染し、ネットワークに被害を与えてしまう可能性があ ムが、インターネットから企業ネットワークへ侵入する るのはエンドポイントPCであるため、最終的な対策はそ のを防ぐには、まず、すでに導入しているファイアウォ こで行うのが基本である。 ールの設定を適切に行うことが有効である。 しかし、アンチウイルスソフトのウイルス定義ファイ このタイプのワームは、OSのセキュリティホールが存 ルやパッチのアップデートなどをユーザー任せにすると、 在するサービスが使用するポートをねらって感染を試み 対応が遅れてしまう可能性がある。このため、エンドポ る。例えば、MSBlasterやWelchiaはWindowsのRPC イントPCでの対策だけでなく、それを補完するためのネ DCOMバッファオーバーフローのセキュリティホールが ットワーク側での対策が必要となってくる。 存在するTCPの135番ポートに対してアクセスし、Sasser 以降では、次の4つの対策法を具体的に説明する。 はLSASSのセキュリティホールが存在するTCPの445番 ポートに対してアクセスを試みる。 ●ファイアウォール/IPS(Intrusion Prevention Sys tem:侵入防御システム) 通常、これらのポートは企業ネットワーク内部でのみ 使用するものなので、インターネットとの境界にあるフ ●ゲートウェイ型アンチウイルスソフト ァイアウォールでブロックすることが可能だ。これによ り、インターネットからOSのセキュリティホールをねら ったワームの被害を防ぐことができるようになる(図1) 。 インターネット MSBlaster 企業ネットワーク 135/TCP Sasser 445/TCP × × ファイアウォール しかしCodeRedやNimdaのように、Webサーバなどの 外部に公開しているサーバが使用するポートをねらって 感染を試みるワームは、外部からのアクセスが許可され エンドポイントPC ているポートを使用するため、ファイアウォールでブロ ックすることができない。 図1● インターネット経由でエンドポイントPCのセキュリティホールをねらうワームの 攻撃をファイアウォールによりブロック 152 NETWORKWORLD Dec 2004 そこで、従来のIDSに不正アクセス遮断機能を備えた ウイルス ワーム の IPSを配置する(図2) 。これにより、サーバへの通常のア フォアスカウトの「WormScout」、NECの「WormGu クセスは通すが、攻撃コードを含んだアクセスはIPSが検 ard IPシ リ ー ズ 」、 ト レ ン ド マ イ ク ロ の「 Network 知し、サーバに到達する前に遮断することができる。 VirusWall 1200」などのワーム検知/隔離システムが相次 IPSの攻撃の検知方法にはさまざまなものがあるが、監 いで登場した。これらの製品は従来のIPSと似ているが、 視しているネットワークのパケットの情報と既知の攻撃 IPSは主にインターネットと企業ネットワークとの境界に の特徴であるシグネチャをマッチングして検知する方法 設置し、インターネット側からの不正アクセスを検知/ が主流である。 防御するためのものである。これに対してワーム検知/ 隔離システムは、ネットワーク内部での攻撃に備えるた メール感染型ワーム/Web感染型ウイルスから 保護するゲートウェイ型アンチウイルスソフト めのものである。ただし、基本的な仕組みは同じと考え てよい。ちなみに、シスコシステムズも、トレンドマイ Webサーバ NetskyやBagle、Mydoomのようにメールを媒介とし て感染するタイプのワームに対しては、企業ネットワー ク内のメールサーバと連係する、SMTP対応ゲートウェ IPS × イ型アンチウイルスソフトを導入するのが効果的である (図3) 。これにより、メールサーバが受信した電子メール DMZ インターネット 企業ネットワーク にワームプログラムが添付されていた場合はそれを検出 Nimda/CodeRed 80/TCP し、添付されたワームプログラムを削除できる。 この場合、電子メールの宛先となっているユーザーに ールとワームに感染したことを示す警告メールが送信さ エンドポイントPC ファイアウォール 対しては、通常、ワームプログラムが削除された元のメ 図2● サーバのセキュリティホールをねらったワームの攻撃をIPSによりブロック れる。ワームメールの送信元にも警告メールを送ること メールサ ーバ SMTP対応ゲートウェイ型 アンチウイルスソフトを導入 ができるが、最近のワームは送信元を偽るケースがほと んどなので、この機能は無効にしたほうがよいだろう。 また、Scob/Download.Jectのようにウイルスに感染し IPS × DMZ たWebサイトをエンドユーザーが閲覧した際に感染する Web感染型ウイルスについては、企業ネットワークのプ ロキシサーバと連係するHTTP対応ゲートウェイ型アン インターネット Netsky/Bagle 企業ネットワーク 25/TCP チウイルスソフトを導入するとよい(図4) 。これにより、 プロキシ経由でダウンロードされるWebコンテンツの内 容を監視し、そこにウイルスやワームが含まれていた場 エンドポイントPC ファイアウォール 図3● SMTP対応ゲートウェイ型アンチウイルスソフトでメール感染型ワームを駆除 合は、その内容を削除することができる。また、HTTP 対応ゲートウェイ型アンチウイルスソフトはFTPにも対 Webサーバ プロキシサ ーバ HTTP対応ゲートウェイ型 アンチウイルスソフトを導入 応しているものが多いので、プロキシサーバを経由し、 FTPでダウンロードされるプログラムにウイルスが含ま × れていた場合も駆除することが可能である。 企業ネットワーク インターネット 内部でのワーム攻撃を検知・遮断する ワーム検知/隔離システム 2003年から2004年の前半にかけて、チェック・ポイン ト・ソフトウェア・テクノロジーズの「InterSpect」や Scob/Download.Ject ファイアウォール エンドポイントPC 図4● HTTP対応ゲートウェイ型アンチウイルスソフトでWeb感染型ウイルスを駆除 NETWORKWORLD Dec 2004 153 クロが提供するウイルス定義ファイルを基にした検知機 にパスしなければ業務ネットワークへ接続させないとい 能を自社のルータ/スイッチ製品に実装することを発表 う仕組みを持つ「検疫ネットワーク製品」が登場した。 している。 企業ネットワークへの接続形態には、主に有線LAN、 また、WormScoutやWormGuard IPシリーズのよう 無線LAN、VPNの3つがある。検疫ネットワーク製品で に、未知のワームを検知する製品も登場している。これ は、有線LANの場合はレイヤー2スイッチへの接続時、無 らの製品では、セキュリティホールを悪用するワームが 線LANの場合は無線アクセスポイントへの接続時、VPN ほかのPCへの感染活動を行う際に発生する「ネットワー の場合はVPN機器へのVPN接続時に、ユーザー認証(も ク上に存在しないPCや無効なサービスへのアクセス」を しくは機器認証)とコンプライアンスチェックと呼ばれる 監視する。そして、それらのアクセスが一定数以上発生 ウイルス対策チェックが行われる。 すると、ワームが攻撃準備段階に入っていると判断し、 応答確認パケット(SYN-ACKパケット)を偽造して攻撃 検疫ネットワーク製品の処理の流れは図6のとおりで、 次のようなチェックが行われる。 元に返信する。このSYN-ACKパケットに攻撃元が応答し てくると、実際に攻撃を仕掛けてきたと判断し、その後 のアクセスをブロックする。このような仕組みにより、 攻撃時にランダムなIPアドレスに対してスキャンを行う タイプのワームを、新種のものも含めて検知するのだ。 ①PCがネットワークに接続されると、業務ネットワーク ではなく検疫ネットワークに接続される。 ②検疫ネットワーク上の検疫サーバによって、認証とコ ンプライアンスチェックが行われる。 ただしこれらの製品を利用する場合、ワーム攻撃のト ③チェックがOKであった場合は、業務ネットワークに接 ラフィックが監視対象ネットワークを通らなければ、ワ 続される。チェックがNGであった場合は、業務ネット ームを検知することができない。現在販売されているワ ワークへは接続させない。この場合は、NGとなった理 ーム検知/隔離システムの多くは、図5のようにあるセグ 由を示し、パッチの適用やウイルス定義ファイルのア メントと上位ネットワークとの接続点を監視するもので ップデートを促す。 ある。しかし、ワームは上位ネットワークを介さない同 一セグメント内のPCを攻撃対象とすることも多く、この 場合は、攻撃を防ぐことができないという問題がある。 持ち込みPCからの感染を防止する 検疫ネットワーク製品 最近のワーム被害の傾向として、外部でワームに感染 したノートブックPCなどを企業ネットワークに接続した ことが原因で、企業ネットワーク全体に感染が広まって しまったというケースが非常に多い。そこで、企業ネッ また、コンプライアンスチェックでは次のようなチェ ックが行われる。 ●PCに適用しているパッチが最新のものかどうか ●アンチウイルスソフトがインストールされているかど うか ●アンチウイルスソフトのリアルタイム保護機能が有効 になっているかどうか ●アンチウイルスソフトのウイルス定義ファイルが最新 のものかどうか トワークへノートブックPCなどを接続する際に、そのPC 検疫ネットワーク レイヤ ー2スイッチ がワーム対策を行っているかどうかをチェックし、それ 検疫サーバ 修復サーバ クライアントPC ワーム検知/ 隔離システムA セグメントA 業務ネットワーク ワーム検知/ 隔離システムB クライアントPC 無線LAN アクセスポイント ファイルサーバ Webサーバ セグメントB 上位ネットワーク ル ータ ワーム検知/ 隔離システムC セグメントC 図5● ワーム検知/隔離システムは各セグメントと上位ネットワークの接続点を監視する 154 NETWORKWORLD Dec 2004 クライアントPC VPN機器 図6● 検疫ネッ トワーク製品では有線LANや無線LAN、 VPNでの接続時にユーザー認証 (もしくは機 器認証) とコンプライアンスチェックと呼ばれるウイルス対策チェックが行われる ウイルス コンプライアンスチェックは、Webブラウザを使用し ワーム の さらに、シスコシステムズの「Cisco Network Admissi てダウンロードされたActiveXや、クライアントにイン on Control(NAC) 」では、アクセス元クライアントは、 ストールされた専用ソフトを使用して行われる。 NACに対応した同社製のルータ(将来はスイッチも対応) クライアントを検疫ネットワークに接続させるための を通過する際に、ウイルス対策情報を送信するように要 仕組みは、製品によってさまざまである。例えば、NTT 求される。クライアントがルータにウイルス対策情報を データ先端技術の「NOSiDE Inventory Sub System 伝えると、ルータはその情報をポリシーサーバに通知し、 2004」と日立電線のレイヤー2スイッチ「Apresia」を組み OKであれば通過が許可される。 合わせた「NOSiDE PC検疫LANソリューション」や、 元来、検疫ネットワーク製品はウイルスやワームに感 PFUの「iNetSec Inspection Center」とトップレイヤー 染したPCが企業ネットワークに接続されたときの感染拡 ネットワークスのネットワーク認証機器「Secure Con 大を防止するために考案されたものである。しかし、現 troller」を組み合わせた「PFU検疫ネットワークシステム」 在の多くの検疫ネットワーク製品では、あるPCがウイル は、Webブラウザを使用してユーザー認証とActiveXに スやワームに感染しているかどうかのチェックは行わず、 よるコンプライアンスチェックを行い、これらにパスし ウイルスやワームへの対策が行われているかどうかをチ ないとネットワーク機器のアクセス制御機能により、業 ェックする。確かに、パッチが適用されていたり、アン 務ネットワークに接続できないようにしている。 チウイルスソフトが適切に動作していれば、ウイルスや また、NECおよびNECソフトの「検疫システムソリュ ワームに感染することを防ぐことができるが、それらの ーション」では、ネットワーク接続時にDHCPサーバによ 対策はそのPCがウイルスやワームに感染したあとに行わ って、検疫ネットワークのみにアクセス可能な仮IPアド れた可能性もある。したがって、コンプライアンスチェ レスがクライアントに付与される。そして、クライアン ックがOKだったからといって、そのPCが安全であると トがユーザー認証およびコンプライアンスチェックにパ は限らない。検疫ネットワーク製品の導入を考える際は、 スすると、認証VLAN機能を備えたスイッチを制御して この点を十分に認識しておく必要がある。 そのクライアントからのアクセスを許可するように設定 する。その後、クライアントはDHCPサーバから正式な 各種ワームの特徴に合わせて 複数の“わな”を仕掛ける IPアドレスを付与 されて、業務ネッ セキュリティホール 悪用型ワーム トワークにアクセ ここでは、ネットワーク側で対策を行うことによって、 スすることが可能 企業ネットワークに接続されたPCがワームからどのよう となる。 に防御されるのかを見ていく。 ファイアウォールで ポートスキャンを遮断 IPSで検知・遮断 ワーム検知システムで 検知・遮断 エンドポイントPCでの対策 ・パーソナルファイアウォール ・パーソナルIDS ・アンチウイルスソフト 図7● セキュリティホール悪用型ワームは、ファイア ウォールやIPS、ワーム検知/隔離システム、エンドポ イントPCでの対策といったように多段的に防御する 電子メール感染型ワーム Web感染型ウイルス メールサーバと連係するゲートウェイ型 アンチウイルスソフトで検知・駆除 プロキシサーバと連係するゲートウェイ型 アンチウイルスソフトで検知・駆除 エンドポイントPCでの対策 ・パーソナルファイアウォール ・アンチウイルスソフト エンドポイントPCでの対策 ・アンチウイルスソフト 図8● 電子メール感染型ワームは、メールサーバと連係する ゲートウェイ型アンチウイルスソフトやエンドポイントPCで の対策で防御する 図9● Web感染型ウイルスは、プロキシサーバと連係する ゲートウェイ型アンチウイルスソフトやエンドポイントPCで の対策で防御する NETWORKWORLD Dec 2004 155 セキュリティホール悪用型ワームの場合 Web感染型ウイルスの場合 インターネットから侵入してくるセキュリティホール Web感染型ウイルスは、プロキシサーバと連係するゲ 悪用型ワームについては、ファイアウォールやIPSによっ ートウェイ型アンチウイルスソフトによって検知され、 て防御することができる(前ページの図7) 。たとえワーム 削除される。もしも、ワームがゲートウェイ型アンチウ がファイアウォールやIPSで見過ごされたとしても、内部 イルスソフトの監視をすり抜けてしまった場合は、エン ネットワークに設置されたワーム検知/隔離システムが ドポイントPC側での対策に任せられる(前ページの図9) 。 ワームを検知し、遮断する。 ただし、ワームに感染したノートブックPCなどが企業 ネットワークに接続されて内部にワームが侵入した場合 は、外部と内部の境界に設置されたファイアウォールや エンドポイントPC/ネットワーク側 での対策の効果を正しく把握すべき IPSはほとんど無力である。そこで、検疫ネットワーク製 エンドポイントPCでの対策をネットワーク側の対策で 品を使用し、ワームに感染する可能性のあるPCの内部ネ 補完することで、ウイルス/ワームによる感染の被害を ットワークへの接続を拒否したり、各セグメントにワー かなりの確率で防ぐことができる。しかし、ここで紹介 ム検知/隔離システムを導入し、内部でのワームの感染 したすべての対策を行うにはかなりのコストがかかって を検知したり感染したPCを隔離したりする必要がある。 しまう。そこで、前回解説したエンドポイントPCでの対 電子メール感染型ワームの場合 電子メール感染型ワームは、メールサーバと連係する ゲートウェイ型アンチウイルスソフトによって検知され、 策と、今回解説したネットワーク側での対策のそれぞれ の効果を正しく理解し、利用環境に応じた対策技術を選 択、導入していく必要があるだろう。 また、現在のウイルス/ワーム対策は、シグネチャや 削除される。もしも、ワームがゲートウェイ型アンチウ ウイルス定義ファイルをベースとしているため、未知の イルスソフトの監視をすり抜けてしまった場合は、エン ウイルス/ワームに対しては無防備であるものが多い。 ドポイントPC側での対策に任せられる(前ページの図8) 。 そのうえ、最近はセキュリティホールが公開されてから ただし、ワームに感染したノートブックPCなどが企業 それを悪用するワームが出現するまでの期間が非常に短 ネットワークに接続されて内部にワームが侵入した場合 くなってきており、パッチの適用やIDS/IPSのシグネチ は、ゲートウェイ型アンチウイルスソフトで防ぐことが ャのアップデート、アンチウイルスソフトのウイルス定 できないので、セキュリティホール悪用型ワームの場合 義ファイルのアップデートなどを行う前にワームに感染 と同様の対策が必要となる。 してしまうケースが増えている。今後は、未知のワーム また、たとえ企業ネットワーク内のPCが電子メール感 に対応した製品も増えてくるだろう。 染型ワームに感染してしまっても、最近の電子メール感 以上、今回はネットワーク側でのウイルス/ワーム対 染型ワームの多くは、独自のSMTPエンジンを使用して 策の現状について解説した。次回は、現在提案されてい 直接メールを送信するので、メールサーバ以外からの る、ステルス型や未知のウイルス/ワームの検出方法に SMTP接続を許可しないようにファイアウォールで設定 ついて解説する。 しておけば、ワームメールが外部に送信されることを防 ぐことができる。 しかし、既存のメーラの設定を利用して正規のメール サーバ経由でワームメールを送信するようなワームの場 合は、ファイアウォールでの防御は効果がないので注意 ● 著 者 よ り 一 言 ● NTTデータ してほしい。このような場合は、ゲートウェイ型アンチ 馬場達也 ウイルスソフトを使用し、外部に送信するメールも合わ これまで、ワームは添付ファイルを開かなければ防げると思っていま せてチェックすることで、外部へのワーム感染を防ぐこ したが、3年前に思いもよらぬことが原因で自宅PCがBadtrans.Bに 感染してたいへんなことに。それ以来、多段防御を実践しています。 とができる。 156 NETWORKWORLD Dec 2004
© Copyright 2024 Paperzz