ワームのイントラ拡大を防ぐ新技術、三菱電機が開発推進Conficker対策にも有望か

三菱電機は、ワーム型ウイルスがイントラネット内に拡散のするのを防ぐためのネットワーク監視技術の開発を進めている。

» 2009年03月06日 17時41分 公開
[ITmedia]

 三菱電機は、独自のデータマイニング技術を使ってワーム型ウイルスがイントラネット内に拡散するのを防ぐためのネットワーク監視システムを開発している。このほど都内で開かれたセキュリティ展示会で紹介した。

 開発中のシステムは、「Dynamic SVD」という独自のデータマイニング技術を利用して、イントラ内に発生する異常なトラフィックを監視・遮断するというもの。通信ポート単位で通常運用の状態とは異なるトラフィックを検知すると、トラフィックを発生させているマシンのIPアドレスを特定してネットワークから遮断する。

Dynamic SVDの仕組み

 従来のネットワーク監視では、設定されたしきい値を超えるトラフィックを検知して通信を遮断するが、しきい値の設定や監視には専門知識が求められ、誤検知が発生する確率も高いという。

 Dynamic SVDでは、通常トラフィックと検知したトラフィックの相関関係やパターンマッチングを行って高精度に状態を分析。ポートスキャンや外部サイトへの通信などのワーム特有の挙動や、通常使用では発生しない通信を迅速に把握でき、ウイルス定義ファイルや修正パッチの提供を待たずに発見から30分以内(システム構成により差異が伴う)に拡散を防止できるようにする。

監視画面のイメージ

 現在は同社内でCiscoのネットワーク機器を利用して、256種類のポートを対象に全社規模や拠点単位などさまざまな環境条件を設定して、試験運用を継続している。商用化を計画しているが、実現時期は未定。

 世界でワーム型ウイルス「Conficker/Downadup」の企業内における感染被害が続いている。同社の説明員によれば、445番ポートスキャンを行うConficker/Downadupの特徴を同技術で初期に検知できれば、社内ネットワークへの感染拡大を抑止できる効果が見込まれるという。

 商用化した場合は、ネットワーク監視の受託サービスなどでの利用を想定している。

過去のセキュリティニュース一覧はこちら

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ