★阿修羅♪ 現在地 HOME > 掲示板 > IT6 > 571.html
 ★阿修羅♪
次へ 前へ
動向 “防御”に本腰を入れるアンチウイルス・ソフト【IT_Pro】
http://www.asyura2.com/0406/it06/msg/571.html
投稿者 クエスチョン 日時 2004 年 10 月 13 日 06:57:45:WmYnAkBebEg4M
 

動向●“防御”に本腰を入れるアンチウイルス・ソフト【IT_Pro】
ディスクI/Oが発生しないネットワーク型ウイルスに対抗
http://itpro.nikkeibp.co.jp/members/SI/ITARTICLE/20041004/150745/

[2004/10/13] バックナンバー

日経システム構築2004年10月号,14ページより

IPS(侵入防御システム)機能を搭載したアンチウイルス・ソフトが出そろった。主要なアンチウイルス・ソフト・ベンダーが7月以降,相次いでIPS対応製品を出荷開始。ディスクI/Oが発生しない,ネットワーク型ウイルスの被害を防ぐことが狙いである。


表1●IPS(侵入防御システム)を搭載するアンチウイルス・ソフトの新版が出そろった


図1●ウイルスがセキュリティ・ホールを突く前に通信を遮断
これまでは,Sasserのようにディスク書き込みを行うウイルスは検出できた。しかし,SQL Slammerのようにディスク書き込みを発生させないウイルスの感染は防げなかった。また,バッファ・オーバーフロー攻撃によりPCがダウンするなどの被害を受ける可能性があった。新版では不正パケットがセキュリティ・ホールに到着する前に遮断することで,これら課題を改善した。図はウイルスバスターの例
 SQL Slammer,Blaster,Nachi,Sasser――。ネットワークにつながっているだけで自動的に感染を広げるタイプのウイルス「ネットワーク型ウイルス」が,昨年以降相次ぎ登場し,多くの企業に被害を与えた。このタイプのウイルスへの対抗手段として,最新の企業向けアンチウイルス・ソフトが IPS機能を備えてきた(表1[拡大表示])。

 シマンテック「Client Security 2.0」に続き,マカフィー「VirusScan Enterprise 8.0i」,トレンドマイクロ「ウイルスバスター コーポレートエディション 6.5 アドバンス」もIPS機能を取り込んだ。

 IPSは,不正パケットを遮断してバッファ・オーバーフロー攻撃を防いだり,バッファ・オーバーフローによる不正コードの実行を抑止したりする機能を備える。これまでのアンチウイルス・ソフトが抱えていた課題を乗り越えた(図1[拡大表示])。
従来の方法では検出不可

 これまでのアンチウイルス・ソフトの課題とは,(1)一部のネットワーク型ウイルスを検出できない,(2)バッファ・オーバーフロー攻撃によりPCがダウンさせられる恐れがある――の2つ。

 (1)は,これまでのウイルス検出法からくる制約。アンチウイルス・ソフトは,ディスクI/Oを監視しており,ウイルスがディスクに書き込まれることをトリガーに,パターン・ファイルと照合してウイルスを検出する。ウイルスからのパケットを受け取った時点(図1上(1)),バッファ・オーバーフローが発生した時点(同(2)),バッファ・オーバーフローにより不正コードが実行された時点(同(3))――ではウイルスを検出できない。つまり, SasserのようなディスクI/Oを発生させるウイルスは検出できたが,「ディスクI/Oを発生させないSQL Slammerのようなウイルスは,従来の方法では検出できない」(トレンドマイクロ プロダクトマーケティング部プロダクトマーケティングマネージャー 小林伸二氏)。

 (2)は,図1上の(1)の時点でウイルスを検出できないために起こる。バッファ・オーバーフロー攻撃を受けることでOSが不安定になり,最悪の場合,PCがダウンさせられてしまう。
ホールに到着する前に遮断

 先に挙げた3製品は,IPSの機能により,いずれもネットワーク型ウイルスの感染を防げる。ただし,製品間で防御法に若干の差がある。 Client Security 2.0とウイルスバスター コーポレートエディション 6.5 アドバンスは,ウイルスが送った不正パケットを遮断する(図1下(1))。一方,VirusScan Enterprise 8.0iは,不正コードの起動を防ぐ(図1上(3))。

 Client Securityとウイルスバスターは,PCが受け取る通信パケットを監視し,攻撃の特徴を示すシグネチャと比較することで不正パケットを検出,遮断する。セキュリティ・ホールが不正パケットを受け,ネットワーク型ウイルスに感染することや,PCがダウンさせられることを防ぐ。

 Client SecurityのIPSは,IDS(侵入検知システム)とパーソナル・ファイアウォールを組み合わせている。IDSで検出した不正パケットをパーソナル・ファイアウォールのポートを閉じて遮断する。遮断時間は30分単位で設定できる。ウイルスバスターは,9つのルールに基づいて,ネットワーク型ウイルスから送られる不正パケットを検出し,遮断する。ただし,ルールの詳細は明らかにしていない。

 VirusScan Enterprise 8.0iは,他の2製品のようにパケットは監視しない。Windows OS,SQL Server,Internet Explorerなどが保持するメモリーのヒープやスタック内にあるコードが起動されるのを監視し,その実行を防ぐ。バッファ・オーバーフロー攻撃は,ヒープやスタック内に不正コードを送り込み,そのコードを実行する。コードの実行を防ぐことで,ウイルスへの感染を回避する。ただし,バッファ・オーバーフロー自体は起きてしまうため,PCが不安定になりダウンさせられる可能性は残る。
(吉田 晃)

■専門サイト「IT Pro Security」トップへ■


関連記事
<“アンチウイルス製品”関連>
米McAfee,個人向けファイアウオールとスパム遮断サービスの新版を発表 (2004/09/30)
フィッシング・メールを検出、ノートンの新版 (2004/09/16)
米McAfee,家庭ユーザー向けアンチウイルス・ソフト「McAfee VirusScan」の新版をリリース (2004/09/16)
イー・ポスト,同社製メール・サーバー用のアンチウイルス製品を発売 (2004/09/07)
米Symantec,セキュリティ・スイート「Norton Internet Security」の新版を発表 (2004/08/19)
米CA,アンチスパイウエア・ベンダーの米PestPatrolを買収 (2004/08/17)

 次へ  前へ

IT6掲示板へ



フォローアップ:


 

 

 

  拍手はせず、拍手一覧を見る


★登録無しでコメント可能。今すぐ反映 通常 |動画・ツイッター等 |htmltag可(熟練者向)
タグCheck |タグに'だけを使っている場合のcheck |checkしない)(各説明

←ペンネーム新規登録ならチェック)
↓ペンネーム(2023/11/26から必須)

↓パスワード(ペンネームに必須)

(ペンネームとパスワードは初回使用で記録、次回以降にチェック。パスワードはメモすべし。)
↓画像認証
( 上画像文字を入力)
ルール確認&失敗対策
画像の URL (任意):
投稿コメント全ログ  コメント即時配信  スレ建て依頼  削除コメント確認方法
★阿修羅♪ http://www.asyura2.com/  since 1995
 題名には必ず「阿修羅さんへ」と記述してください。
掲示板,MLを含むこのサイトすべての
一切の引用、転載、リンクを許可いたします。確認メールは不要です。
引用元リンクを表示してください。