ZDNet ニュース
2004/02/24 17:41:00 更新


ウイルス対策の新発想――スロットリングと予防接種

HPのウイルス・スロットリングは、「感染速度は感染路の拡大に伴って速まる」というウイルスの特性に対抗するもの。また同社は、エクスプロイトコードを滅菌してワクチンとして“予防接種”し、脆弱なシステムを洗い出すサービスも考えている。

 米Hewlett-Packard(HP)は今週、ウイルスの拡散速度を弱めるサービスと、ネットワークの免疫力を向上させるサービスを発表する計画だ。

 前者のサービスでは、ウイルス感染マシンが確立しようとするコネクションの数に制限をかけることで、ウイルスやワームの拡散を抑制する「ウイルス・スロットリング」と呼ばれる手法が採用される。また後者のサービスは、医療のワクチンを模したもので、「毒性を弱めた細菌」に相当するコードを、企業のコンピュータに継続的に送り込む装置をネットワーク内に設置する。

 HP研究所のTrusted Systems Labに所属する著名な科学技術者、ジョー・パト氏によれば、この計画は、セキュリティやインターネット上の脅威も含めて情報技術の変化に顧客が迅速に対応できるようにしようというHPの戦略の一環。

 「われわれは、変化にすばやく対応できるシステムの構築を目指している」とパト氏。同氏は米サンフランシスコで開催のRSA Conferenceで2月26日、キーノートプレゼンテーションを行い、これらのサービスについて説明する。

 この二つは、デジタルシステムを生物のようなものとしてとらえる考え方から生まれた研究開発の一つ。IBMも、コンピュータやネットワークの自己治癒の方法について研究を進めているほか、「Digital Immune System」プロジェクトでデジタル攻撃への優れた対処法を探っている。

 IBMはこうした戦略を総称して「On Demand Computing」と呼び、HPは、こうした企業情報インフラ構想を「Adaptive Enterprise」と称している。

 HPがRSA Conferenceで紹介する予定の二つのサービスは、企業が脅威の急拡大に対処し、日々の攻撃から身を守るのに役立つ可能性がある。

 MSBlastなどのワームやMyDoomのようなウイルスが急速な拡散に成功したのは、PCに入り込んだ後、多数のコネクションを通じて、自らのコードの複製をネット上にばらまくことができたためだ。これらの「コネクション」は、家庭からインターネット接続プロバイダーにつながる電話線やCATV網のことではない。1台のコンピュータから別のコンピュータにつながるソフトウェアコネクションだ。パト氏らは、この手の脅威に共通する振る舞いを洗い出し、ワームやウイルスの中でも最も悪質なタイプのものは、複数のコネクションを確立しているということに気が付いた。

 「明白なこととして、ワームは短時間に新しいコネクションを多数生成する傾向があることが分かった。ユーザーが、自動化ソフトとほとんど変わらないスピードで、このような接続を確立することはあり得ない。だから、確立可能なコネクションの数に制限をかければ、PCを妨害することなく、ウイルス拡散のスピードを劇的に抑制することができると同氏は説明する。

 ウイルス・スロットリングは多くの意味で、「病の感染は、感染路の拡大に伴って速まる」という、コンピュータウイルスと現実世界のウイルスに共通してみられる特性に対抗しようとするものだ。14世紀のペスト流行の一因は貿易路の拡大にあったし、旅客機は、インフルエンザの感染規模拡大に手を貸している。

 同じように、コンピュータウイルスも最初はコンピュータディスク上のファイルに相乗りして感染を広げる形だったが、電子メールの登場によって感染の速度を増し、感染範囲も拡大している。ワームは、脆弱なサービスをつけ込んでコンピュータ同士のダイレクト転送を確立することで感染を拡大した。この手のワームの最初の例がSlammerで、ものの数分でインターネット中に広がっている。

 HPのスロットリングサービスは、顧客のネットワーク内に設置された機器上で、またはコンピュータのOSの修正プログラムとして機能するものになるだろう。

 もう一方のサービスは、一つまたは複数のネットワーク機器上で実行されるものになる可能性が高い。これらの機器は、攻撃を防ごうとするのではなく、顧客ネットワーク上のコンピュータに対して、むしろ継続的に攻撃を仕掛ける。

 といっても、「Active Countermeasures」と呼ばれるこのサービスが仕掛ける攻撃は、医療ワクチンに使われる細菌やバクテリアと同じく良性のものだ。対象のコンピュータを悪用するのが目的ではない。シンプルなプログラムを起動して、そのコンピュータにパッチを当てる必要があることをシステム管理者に伝えるのだ。

 企業ネットワーク上には、その企業が存在に気付いていない機器が推定10%ほど存在しており、こうした「ブラックホール」は攻撃を受けた際のウィークポイントに成り得るが、このテクニックは、こうした機器の封じ込めにも役立つとパト氏は言う。

 「企業ネットワーク上には管理者の知らないシステムが多数存在している。これらは、資産管理システムの対象から外れたシステムであり、定期的なメンテナンスの対象外となっている。われわれは、脆弱性悪用のためのエクスプロイトコードを使い、その毒素を抜いた上で、これらのマシンに投与する」(パド氏)

 HPは、新しい攻撃(エクスプロイト)を発見したら、そのコードを滅菌して顧客に危害が及ばないようにし、顧客ネットワーク上の機器に向けて、それをコードの新バージョンとして配布する。すると顧客ネットワーク上の機器が、その良性のコードを使ってローカルコンピュータを攻撃する。脆弱性を抱えたコンピュータすべてでこの良性コードが実行され、管理者向けのメッセージを表示したり、パッチプログラムの実行を開始したりするという。

 「幾つかのアクションが起こされるが、それは一連の良性の対策の中から選んだものになる」(パト氏)

 二つのサービスは、小規模なテストを実施した後、ほかのHPのサービスとともに年内に始動の予定だとパト氏は説明した。

原文へのリンク

[Robert Lemos,ITmedia]

この記事は、ZDNet米国版掲載記事を翻訳したものであり、CNET Networks,Incもしくはその供給元にその著作権が帰属します。Copyright(C) 2005 CNET Networks, Inc. All Rights Reserved.“ZDNet”はCNET Networks, Inc.のトレードマークです。