未知のウィルスの通信も検知し、情報流出防ぐ装置

未知のウィルスの通信も検知し、情報流出防ぐ装置 24

ストーリー by kazekiri 2006年01月25日 14時31分
中身だけ興味部門より

Anonymous Coward曰く、"日経朝刊に富士通、社内LANから情報流出防ぐ装置を開発という記事。 IPCOMというネットワーク機器の記事のようだが、この記事で取り上げている IPCOM Lでは富士通研究所が開発したウイルス特有の通信パターンから感染したコンピューターを検知する技術を採用し、外部に接続できないようにして未知のウイルスにも対応するということのようだ。WinnyなどのP2Pアプリケーションのアクセスもブロックするようだ。製品のリリースを読んでも「ワーム検知には、富士通独自のワーム振る舞い検知機能を搭載。ワームの感染活動時に見られる特徴的な通信を捕らえ、ワームを検知しますので、未知のワームも検知可能です。」としか書いてないが、中身を見てみたいものだ。"

この議論は賞味期限が切れたので、アーカイブ化されています。新たにコメントを付けることはできません。

記事ページを表示すべてのコメント取得

検索24コメント Log In/Create an Account

ワーム振る舞い検知 (スコア:5, 参考になる)

by Anonymous Coward on 2006年01月25日 20時06分 (#871026)

ハードウェアによる検知技術だそうです。
TCPポートスキャン、UDPポートスキャン、ホストスキャンなどの種別を最短で10ミリ秒間隔でチェックして検出するんだとか。

ただ、

ブラウザ起動時に複数ページを読み込んだりした場合。
FTPとかtelnet使っててサービスの動作するホストを端末が探索するような場合。
ネットワーク管理装置から端末検索などを行なった場合。
IPマスカレードを行なっている機器からのアクセスの場合。
多数のリンクからなるWebにアクセスが頻発した場合。

なんかだと誤検出することがあるらしいです。
このへんはコマンドを打つことで閾値や検出対象から外すことで対応はできるそうですけど。

なんだかちょっと調べてみると思ったより低機能なきがしてがっかりです。

# がっかりしたのでAC
- Re:ワーム振る舞い検知 (スコア:0)
  
  by Anonymous Coward
  
  このへんはコマンドを打つことで閾値や検出対象から外すことで対応はできるそうですけど。
  結局、業務遂行に支障がない程度に緩くしつつ、そこが穴にならない
  ような落しどころを見つけていくという作業が必要なのでしょうね。
  
  この富士通のシステムは端末の外に存在させておくもののようですが、
  端末の外側で見張ってて、聞こえてくるパケットから端末の中を推測
  するのってなんだか、脳波で脳を調べるのに似てますね。
  
  精神に問題を抱えてしまった場合は、脳波なんか見るより、自分とし
  っかり向き合って見つめなおしたほうが良いことが多いわけで･･････
  
  自分の使っている端末が、外部
  - Re:ワーム振る舞い検知 (スコア:0)
    
    by Anonymous Coward
    
    それって普通のセキュリティソフトじゃないの？
    「Norton Internet Security」とか、
管理ツールってよくなったの? (スコア:3, 興味深い)

by cauchy (29911) on 2006年01月25日 16時53分 (#870941)

IPCOMの管理ツールは、WebGUIとJavaで作られたクライアントソフトだったはず。
でも、すごく使い難くて、大体の用途ごとわかれてて、あっちもこっちも設定する必要がある。
しかも、Javaで作られているの２種類の管理ツールを利用するためには、機器付属の専用JREを２種類(J2RE SE1.4.1とJ2RE SE1.4.2)をインストールする必要がある。もちろん、Windows専用です。
なお、NAT環境からのこれらの管理ツールで設定できません。
このへんは、改善されたの?
- Re:管理ツールってよくなったの? (スコア:3, 参考になる)
  
  by Anonymous Coward on 2006年01月25日 22時44分 (#871082)
  
  >このへんは、改善されたの?
  
  まったく改善されてません。
  なので、導入した後に気付くとむしょーに腹が立ちます。
  自分とF通に。
  
  シェア
  
  親コメント
- IPCOM S(Re:管理ツールってよくなったの?) (スコア:1, 興味深い)
  
  by Anonymous Coward on 2006年01月25日 23時06分 (#871089)
  
  IPCOM Sだと、パソコンベースのLinuxルータでコマンドはCiscoのIOSっぽくしてあるというイメージが強いです。
  IPCOM S1000やS1200はPFUのアプライアンス部隊が開発してる [fujitsu.com]ようですが、
  もう少しアレゲっぽくしてもらえませんかね。
  # 開発している連中は/.Jとかよく読んでそうな気はする。
  
  シェア
  
  親コメント
すでに時代遅れでは? (スコア:3, すばらしい洞察)

by SteppingWind (2654) on 2006年01月25日 18時16分 (#870977)
最近のマルウェアは従来の愉快犯的なものから, 明確な目的を持って行動するタイプに変わってきています. 例えばこんな記事 [itmedia.co.jp]もあるようです.

とすれば, マルウェア側では動作パターンとしては当然, 検出されにくい通常業務パターンを装うでしょう. 従って, 今後の防御システムの方向性は
- 外部からの侵入阻止
- 動作前のマルウェア検出
じゃあないと, あんまり効果は期待できないと思います. まあやらないよりはましでしょうけど.
ワーム検知 (スコア:2, おもしろおかしい)

by Anonymous Coward on 2006年01月25日 15時10分 (#870875)

> ワーム検知には、富士通独自のワーム振る舞い検知機能を搭載
実は独自にワームをつｋ（ｒｙ
- Re:ワーム検知 (スコア:1)
  
  by shingo_u (26728) on 2006年01月25日 16時17分 (#870921) ホームページ
  
  当社の開発したワームはこの製品でのみ感知可能です。
  他社の製品を使用した場合の結果については保証できませんのでご注意下さい。
  
  シェア
  
  親コメント
  - Re:ワーム検知 (スコア:0)
    
    by Anonymous Coward
    
    昔矛と盾を売るやつがいってたな
  - Re:ワーム検知 (スコア:0)
    
    by Anonymous Coward
    
    それ何てWinFixer [srad.jp]?
んー・・・ (スコア:1)

by gonza-less (23265) on 2006年01月25日 22時11分 (#871066) ホームページ日記

単にIPSと802.1xの組み合わせてアプライアンスにしたという感が否めないです。

タレコミの記事では

＞あらかじめ登録されていないパソコンがＬＡＮに接続された場合は自動的に検知し、回線を遮断。

とありますが、これ単体だけじゃどうしようもなくて配下のSWに設定が必要でしょう。
少し誇大記事かなぁと思うです。
- Re:んー・・・ (スコア:0)
  
  by Anonymous Coward
  
  >単にIPSと802.1xの組み合わせてアプライアンスにしたという感が否めないです。
  残念ながらIPCOM LはWeb認証のみ [fujitsu.com]で802.1X認証はないようです。
半年遅かった！？ (スコア:1, 参考になる)

by Anonymous Coward on 2006年01月26日 0時18分 (#871122)

富士通の顧客情報がWinnyに流出、私用PCのウイルス感染が原因 [itmedia.co.jp]
WormScout (スコア:1)

by kwbt (19178) on 2006年01月26日 0時50分 (#871140) ホームページ

WormScoutとどう違うのだろう。 http://www.ctc-g.co.jp/~ctcsp/security/wormscout.html

--
--kwbt
「ワームの感染活動時に見られる特徴的な通信」って何？ (スコア:0)

by Anonymous Coward on 2006年01月25日 15時25分 (#870888)

「ワームの感染活動時に見られる特徴的な通信」って、具体的にどんな物なのかな？

普通の通信を装いながら活動するワームだったら、検知できないとか・・・
- Re:「ワームの感染活動時に見られる特徴的な通信」って何？ (スコア:4, 参考になる)
  
  by Anonymous Coward on 2006年01月25日 16時51分 (#870939)
  富士通の研究というわけではないですが、この分野の学会発表を何度か聞いたことがあります。
  ワームに特徴付けられる挙動の例としては、
  
  特定のポート番号へのアクセス数の増大
  
  →そのポートがdefaultとなっているアプリケーションの脆弱性をついたワームが広がっている
  DNSのMXレコードがたくさんひかれる
  →メールで感染するワームが広がっている
  みたいなものがあるみたいですね。
  シェア
  
  親コメント
  - Re:「ワームの感染活動時に見られる特徴的な通信」って何？ (スコア:0)
    
    by Anonymous Coward
    
    そんな事は知っているんだよ。俺たちの知りたいのは、特定のPCがウィルスに感染しているか否かを、どうやったら通信の特徴から判断できるのかって事さ。
    
    まぁ何かのオーバーフローを狙っている通信とか、SQL INJECTIONを狙っている通信とかを検出してブロックするんじゃ無いかね。
  - Re:「ワームの感染活動時に見られる特徴的な通信」って何？ (スコア:0)
    
    by Anonymous Coward
    
    それって、ある程度ワーム活動の統計が取れてからじゃないと無理ですよね？
    ってことはたとえば「500件のアクセス」みたいなトリガがあったとしたら、
    それまでに感染しちゃったり活動されちゃった分はどうしようもないんでしょうか。
    完全に素人考えですが…
- Re:「ワームの感染活動時に見られる特徴的な通信」って何？ (スコア:1, おもしろおかしい)
  
  by Anonymous Coward on 2006年01月25日 15時32分 (#870896)
  
  >具体的にどんな物なのかな？
  
  「にゃは」とか？
  
  シェア
  
  親コメント
  - Re:「ワームの感染活動時に見られる特徴的な通信」って何？ (スコア:0)
    
    by Anonymous Coward
    
    やっぱり、「ぬるぽ」じゃないですか？
    
    ～ちょっとアレゲなエースが通る～
- Re:「ワームの感染活動時に見られる特徴的な通信」って何？ (スコア:0)
  
  by Anonymous Coward
  
  お外からコンコンされたらWindows size=0でカプしたままホールドってのはもう古いんでつか
  - Re:「ワームの感染活動時に見られる特徴的な通信」って何？ (スコア:0)
    
    by Anonymous Coward
    
    Window * s * size って？

より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。

未知のウィルスの通信も検知し、情報流出防ぐ装置 24

未知のウィルスの通信も検知し、情報流出防ぐ装置 More ログイン

ワーム振る舞い検知 (スコア:5, 参考になる)

Re:ワーム振る舞い検知 (スコア:0)

Re:ワーム振る舞い検知 (スコア:0)

管理ツールってよくなったの? (スコア:3, 興味深い)

Re:管理ツールってよくなったの? (スコア:3, 参考になる)

IPCOM S(Re:管理ツールってよくなったの?) (スコア:1, 興味深い)

すでに時代遅れでは? (スコア:3, すばらしい洞察)

ワーム検知 (スコア:2, おもしろおかしい)

Re:ワーム検知 (スコア:1)

Re:ワーム検知 (スコア:0)

Re:ワーム検知 (スコア:0)

んー・・・ (スコア:1)

Re:んー・・・ (スコア:0)

半年遅かった！？ (スコア:1, 参考になる)

WormScout (スコア:1)

「ワームの感染活動時に見られる特徴的な通信」って何？ (スコア:0)

Re:「ワームの感染活動時に見られる特徴的な通信」って何？ (スコア:4, 参考になる)

Re:「ワームの感染活動時に見られる特徴的な通信」って何？ (スコア:0)

Re:「ワームの感染活動時に見られる特徴的な通信」って何？ (スコア:0)

Re:「ワームの感染活動時に見られる特徴的な通信」って何？ (スコア:1, おもしろおかしい)

Re:「ワームの感染活動時に見られる特徴的な通信」って何？ (スコア:0)

Re:「ワームの感染活動時に見られる特徴的な通信」って何？ (スコア:0)

Re:「ワームの感染活動時に見られる特徴的な通信」って何？ (スコア:0)

スラド