ニュース
2004/04/15 12:00 更新
第2回
Microsoftネットワークの監視で見えてくる、Windowsの裏側 (3/3)
パスワードアタック
他人のアカウントを使ってサーバにアクセスするには、そのアカウントに設定されたパスワードを知っている必要がある。このとき、パスワードを推測するのに使われる代表的な手法が、オンライン・パスワードアタックだ。オンライン・パスワードアタックを仕掛けた場合、ユーザー自身がパスワードを忘れたり、勘違いしていたといった理由から何度もログオンを試す場合とは、スピードや失敗のパターンなどが明らかに違う。
画面3は、あるサーバに登録されているアカウントに対して、パスワードの推測が非常に高速に行われた時に、VISUACTが記録したアクション情報の履歴である。これを見ると、ユーザーが現実にパスワードを入力できる速さとは明らかに違っているので、パスワードアタックが行われたことが一目瞭然だ。
ウイルス感染はこう見える
MSネットワークのファイル共有機能は、ウイルスの感染にも悪用されている。ファイル共有サービスを悪用するウイルス(Opserve/Deloder/LovGateなど)は、ネットワーク上の共有フォルダを見つけては、必要なファイルをコピーする動作を繰り返して、感染を拡大していくのだ。
ウイルスが共有フォルダを見つけ、接続を試みる動作や、ファイルをコピーする動作は、VISUACTで見ることができる。このような行動パターンを持つ新種のウイルスは今後も出現するだろうが、MSネットワークを監視していれば直感的に分かるはずだ。
ネットワーク運用のお供に
セキュリティの話ではないが、ネットワーク運用/管理でもVISUACTが活用できる例を紹介しよう。
不要なフォルダが整理できる
ファイルサーバ上にはどんどんファイルが蓄積されていく。そのファイルがその後活用されるかどうかにかかわりなく、誰かが整理しない限りずっと残るはずだ。
VISUACTが出力するファイルサーバへのアクセスログを分析すると、どのファイル/フォルダへのアクセス頻度が高いのか、あるいは低いのかが分かる。利用頻度の低いファイル/フォルダを発見し、不要になったものを整理する作業に役立てられるだろう。ディスク資源にもやさしい使い方だ。
ファイルの削除やリネームの履歴がわかる
「ファイルサーバのここにあるはず」と思っていたファイルが見つからないときにはどうすればいいだろう。人間の記憶はあいまいなので、もともとそのファイルがなかったり、ファイルやフォルダ名を記憶違いしていた、ということもあるだろう。しかし、誰かが自分の知らないうちにファイルを削除/移動していたり、リネームしていたりする可能性もある。ひょっとしたら自分自身で削除やリネームを行い、それをすっかり忘れている可能性だってある。
ファイルやフォルダが削除されたり、リネームされていた場合、もうサーバ上には存在しないのだから、いくら名前で検索しても見つかりっこない。しかし、見つからない理由がはっきりしないと、なかなか諦めがつかないものだ。このように、一度見失ってしまったファイル/フォルダの削除やリネームの履歴を確認することは意外と難しいのだ。
VISUACTが出力するログには、ファイルやフォルダに対する削除やリネームの操作が記録されている。削除されてしまっていた場合、そのファイルを元に戻すことはできないが、移動やリネームされただけならば、探していたファイルを見つけだすこともできるだろう。
イントラネットにも監視の目を
イントラネット上には重要な情報が蓄積されている。こう考えれば本来そこには強固なセキュリティが必要なはずだ。だが実際には、ユーザーを信頼し、また利便性や使い勝手が優先されてきたため、セキュリティは二の次にされてきた。このため、社内の重要なファイルサーバへのアクセスの実態すら、いまだよく分かっていないことが多い。
だが、平常時の自社のイントラネットがどんな状態にあるのかを把握できなくては、いざ不測の事態が起きたとしても、何が何やら分からないままになってしまう。もっと恐ろしいことに、不測の事態が起きたことにさえ気付かない可能性もある。
このような状況からは、ネットワーク上では何をやっても分からないといった意識がユーザーに生まれる。そしてそれが、出来心による不正アクセス、ひいては企業内部からの情報漏えいへとつながっている。イントラネットでの不正アクセス、さらには情報漏えい対策を真剣に考えるならば、まずは日常的にサーバへのアクセスを監視することから始めるべきだろう。
関連記事
Microsoftネットワークの監視で見えてくる、Windowsの裏側 第1回セキュリティフライデー、Windowsネット上の挙動を監視する「VISUACT」を発表関連リンク
セキュリティフライデー[有元伯治(セキュリティフライデー),ITmedia]
Copyright © ITmedia, Inc. All Rights Reserved.
