現在地 HOME > 掲示板 > テスト8 > 121.html ★阿修羅♪ |
|
Tweet |
(回答先: Re: テスト 投稿者 クエスチョン 日時 2004 年 10 月 12 日 19:30:33)
動向●“防御”に本腰を入れるアンチウイルス・ソフト【IT_Pro】
ディスクI/Oが発生しないネットワーク型ウイルスに対抗
http://itpro.nikkeibp.co.jp/members/SI/ITARTICLE/20041004/150745/
[2004/10/13] バックナンバー
日経システム構築2004年10月号,14ページより
IPS(侵入防御システム)機能を搭載したアンチウイルス・ソフトが出そろった。主要なアンチウイルス・ソフト・ベンダーが7月以降,相次いでIPS対応製品を出荷開始。ディスクI/Oが発生しない,ネットワーク型ウイルスの被害を防ぐことが狙いである。
シマンテック「Client Security 2.0」に続き,マカフィー「VirusScan Enterprise 8.0i」,トレンドマイクロ「ウイルスバスター コーポレートエディション 6.5 アドバンス」もIPS機能を取り込んだ。
IPSは,不正パケットを遮断してバッファ・オーバーフロー攻撃を防いだり,バッファ・オーバーフローによる不正コードの実行を抑止したりする機能を備える。これまでのアンチウイルス・ソフトが抱えていた課題を乗り越えた(図1[拡大表示])。
従来の方法では検出不可
これまでのアンチウイルス・ソフトの課題とは,(1)一部のネットワーク型ウイルスを検出できない,(2)バッファ・オーバーフロー攻撃によりPCがダウンさせられる恐れがある――の2つ。
(1)は,これまでのウイルス検出法からくる制約。アンチウイルス・ソフトは,ディスクI/Oを監視しており,ウイルスがディスクに書き込まれることをトリガーに,パターン・ファイルと照合してウイルスを検出する。ウイルスからのパケットを受け取った時点(図1上(1)),バッファ・オーバーフローが発生した時点(同(2)),バッファ・オーバーフローにより不正コードが実行された時点(同(3))――ではウイルスを検出できない。つまり, SasserのようなディスクI/Oを発生させるウイルスは検出できたが,「ディスクI/Oを発生させないSQL Slammerのようなウイルスは,従来の方法では検出できない」(トレンドマイクロ プロダクトマーケティング部プロダクトマーケティングマネージャー 小林伸二氏)。
(2)は,図1上の(1)の時点でウイルスを検出できないために起こる。バッファ・オーバーフロー攻撃を受けることでOSが不安定になり,最悪の場合,PCがダウンさせられてしまう。
ホールに到着する前に遮断
先に挙げた3製品は,IPSの機能により,いずれもネットワーク型ウイルスの感染を防げる。ただし,製品間で防御法に若干の差がある。 Client Security 2.0とウイルスバスター コーポレートエディション 6.5 アドバンスは,ウイルスが送った不正パケットを遮断する(図1下(1))。一方,VirusScan Enterprise 8.0iは,不正コードの起動を防ぐ(図1上(3))。
Client Securityとウイルスバスターは,PCが受け取る通信パケットを監視し,攻撃の特徴を示すシグネチャと比較することで不正パケットを検出,遮断する。セキュリティ・ホールが不正パケットを受け,ネットワーク型ウイルスに感染することや,PCがダウンさせられることを防ぐ。
Client SecurityのIPSは,IDS(侵入検知システム)とパーソナル・ファイアウォールを組み合わせている。IDSで検出した不正パケットをパーソナル・ファイアウォールのポートを閉じて遮断する。遮断時間は30分単位で設定できる。ウイルスバスターは,9つのルールに基づいて,ネットワーク型ウイルスから送られる不正パケットを検出し,遮断する。ただし,ルールの詳細は明らかにしていない。
VirusScan Enterprise 8.0iは,他の2製品のようにパケットは監視しない。Windows OS,SQL Server,Internet Explorerなどが保持するメモリーのヒープやスタック内にあるコードが起動されるのを監視し,その実行を防ぐ。バッファ・オーバーフロー攻撃は,ヒープやスタック内に不正コードを送り込み,そのコードを実行する。コードの実行を防ぐことで,ウイルスへの感染を回避する。ただし,バッファ・オーバーフロー自体は起きてしまうため,PCが不安定になりダウンさせられる可能性は残る。
(吉田 晃)
■専門サイト「IT Pro Security」トップへ■
関連記事
<“アンチウイルス製品”関連>
米McAfee,個人向けファイアウオールとスパム遮断サービスの新版を発表 (2004/09/30)
フィッシング・メールを検出、ノートンの新版 (2004/09/16)
米McAfee,家庭ユーザー向けアンチウイルス・ソフト「McAfee VirusScan」の新版をリリース (2004/09/16)
イー・ポスト,同社製メール・サーバー用のアンチウイルス製品を発売 (2004/09/07)
米Symantec,セキュリティ・スイート「Norton Internet Security」の新版を発表 (2004/08/19)
米CA,アンチスパイウエア・ベンダーの米PestPatrolを買収 (2004/08/17)