IMワームの拡散を助長する恐れのある「接続度の高い」ユーザー

コンピュータ研究者によると、IMネットワークに接続した少数のユーザーががワームの感染を広げる可能性があるものの、多数の通信相手がいる「接続度の高い」IMユーザーからの通信を遮断すればワームの拡散を遅らせることができるという。

» 2004年10月05日 22時09分 公開
[IDG Japan]
IDG

 コンピュータ研究者によると、IM(インスタントメッセージング)ネットワークに接続した少数のユーザーがワームの感染を広げる可能性があるものの、多数の通信相手がいる「接続度の高い」IMユーザーからの通信を遮断すればワームの拡散を遅らせることができるという。

 IMワームに関する調査によると、従来のウイルス対策技術は速度が遅く、接続度の高いIMユーザー(数百名の通信相手がいるユーザーもいる)によるワームの拡散に対して有効に対応できない。Hewlett-Packard(HP)在籍時にこの調査を実施したマシュー・ウィリアムソン氏によると、こういったユーザーの通信を遮断することが、IMワームの拡散を抑制あるいは阻止する上で有効な対策となる可能性があるという。

 ウィリアムソン氏は、先週シカゴで開催されたVirus Bulletin 2004 International ConferenceにおいてIMワーム拡散に関する研究成果を発表した。同氏は現在、Sana Securityに勤務する。

 IMネットワークは、「スケールフリーネットワーク」として知られる現象の一例だという。この用語は、疫学研究者が動物や人間の集団などのシステムを表すのに用いる。すべてのメンバーが相互に接続されているわけではないが、ウイルスに極めて感染しやすいのがこの種のシステムの特徴。コンピュータシステムでは、多数のネットワーク構成員に接続している「接続度の高い」ノードによってネットワーク挙動が支配される、と同氏は指摘する。IMネットワークの場合、接続度の高いノードというのは、多数の通信相手がいるユーザーということになる。現実社会では非常に社交的な人々に相当する。

 「IMネットワークは、根底にある現実社会の仮想的な形態である」とウィリアムソン氏は言う。

 HP社内の700人のユーザーを対象として実施したウィリアムソン氏の調査によると、こういったユーザーのコンピュータに感染したワームは彼らの通信相手に広がり、さらにこれらの通信相手からほかのIMユーザーに感染する。

 接続度の高いユーザーの存在は、IMユーザーに「免疫」を与えるウイルス対策ソフトウェアを使用するといった従来のウイルス防止手段では効果がないことを意味する。というのは、大多数のIMユーザーはわずか数人の相手と通信しているだけであり、ウイルスの拡散には大して寄与しないからだ。

 より効果的なアプローチは接続度の高いユーザーのみに免疫を与えることであるが、それは容易ではない。ネットワーク全体にIMワームが拡散するスピードが速いからだ。ウィリアムソン氏によると、HPのテストでは10〜20秒でネットワークに拡散したという。

 もう1つの対策としては、ネットワーク管理者がIMネットワーク上で「ワーム的」な挙動を発見したら、マシン間の通信速度を抑制するという手法もある。HPではこの手法を「ウイルススロットリング」と呼んでいる。ウィリアムソン氏によると、これは社内ネットワーク上で電子メールウイルスやワームの拡散を防止するために同社が推進している手法(特許出願中)とほとんど同じだという。

 HPは2月にスロットリングサービスの計画を発表したものの、8月には、混成ネットワーキング環境ではスロットリング技術が実用的ではないとして、標準的なネットワーク環境で同技術を利用する方法を模索していることを明らかにした。

 ウイルススロットリング技術は、感染したIMユーザーらが彼らの「ワーキングセット」(各IMユーザーが日常的に通信する少数のグループ)の外部に送信できるIMメッセージの数を制限するという手法。この技術が効果的な理由は、100人以上のIM「バディ」を持っている接続度の高いIMユーザーであっても、毎日会話するバディのワーキングセットは小さく(一般的には5人程度)、ワーキングセットの外部に送信するメッセージは毎日2通程度だからだ、とウィリアムソン氏は説明する。

 「ウイルススロットリングでは、IMユーザーのワーキングセットの外部のユーザーに送られるメッセージがキューに入れられ、それが配信されるまで少しの遅延が与えられる。遅延キューが一定の長さに達すれば、通常の通信相手以外のユーザーに宛てたメッセージトラフィックが大量に存在することを意味し、その場合にはIM通信を長期間にわたって遮断あるいは遅延すればよい」(同氏)

 スロットリング技術を利用して接続度の高い少数のユーザーを排除すれば、IMネットワーク上でワームの拡散速度を劇的に抑えることができる。しかも大多数のIMユーザーには影響を及ぼさないという。

 IMワームに対するウイルススロットリングの研究を行った後でHPを去ったウィリアムソン氏は、この技術は大規模なIMネットワーク(America OnlineやMicrosoftのMSNサービスが提供するコンシューマー向けの大規模IMネットワークなど)では検証されていないとしている。HP社内のIMユーザーを対象としてテストされた同技術は、重要なIMユーザー層、すなわちティーンエージャーについても未検証である。

 「ティーンエージャーの習慣は全く異なるかもしれない。たぶん彼らは、同時に複数の会話を行うこともできるだろう」(ウィリアムソン氏)

 「だがHPなどの社内ネットワーク上でのIMの利用を管理するのと同じ原理は、ティーンエージャーにも適用できるはずであり、ネットワーク管理者はネットワーク上のユーザーのプロファイルにかかわらず、ワーム型ウイルスの基準に適合するIMの挙動を検知することができるだろう」(同氏)

Copyright(C) IDG Japan, Inc. All Rights Reserved.

注目のテーマ