ワームの動きを「見える化」すると……（1/2 ページ）

見えない化が進んでいるインターネット上の脅威に対処するには、さまざまな角度から、何とかこれを「見える化」する工夫が必要だ。

[高橋睦美，ITmedia]

　「自分のマシンがウイルスに感染してしまった」と気付くのは、どんなときだろうか？

　昔は、ウイルスやワームに感染したことに気付くのは、比較的簡単だった。最もわかりやすい例の1つが「Happy99」ワームだ。電子メールの添付ファイルを介して届くこのワームは、特に悪さをするわけではないが、感染すると「Happy New Year 1999!」というメッセージや花火の動画が表示される。

牧歌的な時代のウイルスの代表例、「Happy99」に感染するとこのような画面が表示される

　また、2003年の夏休みの時期に大流行した「Blaster」ワームの場合は、ワームプログラム自体の品質があまり優れていなかったことから、感染すると一部のマシンでWindows OS自体が不安定になり、再起動を繰り返すという症状が見られた。これも、感染を見破る鍵の1つとして利用できた。

　ところが、最近の脅威は「見えない化」が進んでいる。マクロ的には、まだ一般に公表されていない「ゼロデイ」の脆弱性を狙って侵入したり、特定少数を標的にする「ターゲット型攻撃」が増加した。このため、ネットワーク全体をよほど注意深く観測していない限り、不審な動きに気付くのが難しい。

　またミクロ的（＝個々の端末）にも、感染しても、なかなかおかしな挙動を見せないようになった。人間の病気でもそうだが、高熱など明らかに異常な症状が出れば、薬を飲もうという気にもなる。だが最近の脅威は、自覚症状のない病気のようなもの。なかなかそれと気付くことができず、対策も遅れがちになってしまう。

ワームの探索活動を「見える化」

　セキュリティベンダーや対応担当者では、このように見えない化している脅威を何とか「見せる」ための取り組みを進めている。

　その1つが、日立製作所のセキュリティレスポンスチーム、「HIRT（Hitachi Incident Response Team）」が開発したツールだ。HIRTのWebページでは、このツールによってワームの動きを「可視化」する様子が紹介されている。

　HIRTによると、ウイルス／ワームを「可視化」するには、いくつか着目できるポイントがある。1つは、感染後にPCが吐き出すパケットの送信タイミング。2つめは、感染先ノードのポートやプロトコルの推移。そしてもう1つ、次なる感染ターゲットを探し求めるIPアドレス生成／探索活動にも特徴が見られるという。

　この感染ターゲットの探索活動を見極める切り口として、HIRTは3つの方法を提示した。1つは、ノード探索活動の「規則性」。2つめは、探索先IPアドレスの「均一性」や「走査範囲」。3つめは、IPアドレスの生成順序に関する「周期性」だ。こうした視点からワームの活動を見ていくと、それぞれ異なった特徴が見えてくる。