Your SlideShare is downloading. ×
White Paper SG & Trendmicro TMPS
White Paper SG & Trendmicro TMPS
White Paper SG & Trendmicro TMPS
White Paper SG & Trendmicro TMPS
White Paper SG & Trendmicro TMPS
White Paper SG & Trendmicro TMPS
White Paper SG & Trendmicro TMPS
White Paper SG & Trendmicro TMPS
White Paper SG & Trendmicro TMPS
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

White Paper SG & Trendmicro TMPS

499

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
499
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
1
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. White Paper 閉域ネットワークのウィルス蔓延と セキュリティ対策ソリューション 2011 年 6 月 株式会社ハンドリームネット
  • 2. 1. 概要 本書では、従来ウィルス感染の心配が尐ないとされていた閉域ネットワーク(インターネットに接続されていないネットワークのこと、クローズドネットワークとも呼ばれる)内で急増しているウィルス・ワーム蔓延の現状と、技術的解説、及び対策方法について解説することを目的としている。 特に製造業においては、FA 機器を管理する閉域ネットワークでウィルス・ワームが蔓延し、生産活動が停滞したり、生産ラインの停止に追い込まれたケースも尐なくないことが注目される。2011 年 3 月 11 日に起こった、東北地方太平洋沖地震によって、国内の生産活動が停滞している中、更なる操業停止を防ぐことが喫緊の課題である。その点でウィルス・ワーム対策は計画停電対策に並ぶ緊急対策事項であると言える。2. 閉域ネットワークでのウィルス被害事例 2010 年 9 月にイランの原子力発電所でウィルスが発見された。見つかったウィルスは Stuxnetと呼ばれるもので、独 Siemens のマシンを標的として作成された物である。ウィルス解析の結果USB メモリや SD カードなど、リムーバブルメディアによって一次感染、ネットワークを経由して拡散することが分かっている。 Stuxnet は工業用システムをターゲットとしたウィルスであり、ウランを濃縮する遠心分離機のモーター制御機能を失わせることがわかっている。セキュリティ専門家はイランの原発稼働を阻止するために何者かがウィルスを作成したと考えている。 原子力発電所のネットワークはインターネットから切り離されたクローズドネットワークにもかかわらず、システムがウィルスに感染したことで注目が集まった。また高いセキュリティレベルが保たれているはずの原子力発電所であっても、ウィルス被害に対して脆弱なことが明らかになった。 感染、拡散の経緯について、公式声明は発表されていないが、専門家によると [図1] にある通り、原子炉制御ファイルを他の PC とやりとりする際に USB メモリを使用(閉域ネットワークのため、メールなどを使ってのやりとりができない)したことによって感染が起き、その後ネットワークを通じて拡散が広がったと推測されている。 1
  • 3. [図1]3. 世界中で多発している閉域ネットワークでのウィルス蔓延被害 閉域ネットワークであればウィルスの心配はない、対策を取る必要も無い、という考え方は既に時代遅れなものとなっている。事実世界中で同じような閉域ネットワークでの感染事例があり、大きな被害をもたらしている。 日本国内では大手半導体メーカ-の生産ラインで USB メモリが持ち込まれ、FA システムにウィルスが感染、ネットワークを通じた二次感染によって LAN 内の PC にウィルスが蔓延、3日間に渡り生産ラインの停止を招くという大きな被害をもたらした。また同じような被害は隣国の韓国でも起きている。 アメリカでは米軍施設でウィルスが発見された事例がある。この事例の場合、感染が発見されたのはアメリカ本土の基地であったが、感染源をたどっていくと、アフガニスタン戦略を担っていた中東の米軍基地が疑われ、当地では軍規に違反して日常的に USB メモリが使われていたとのことである。その他 [図2] を見ると世界中で、閉域ネットワーク内での被害が多発していることがわかり、また死亡事故の原因となったものがあるなど、被害も甚大であることがわかる。 2
  • 4. [図2]4. 閉域ネットワークでウィルス感染する理由 コンピューターウィルス(自己増殖機能を持つウィルスを特にワームと呼ぶが、ここではウィルスと総称する)の感染ルートとしては大きく次の 3 通りがある。 ① ウィルス感染ファイルをダウンロード、実行することによる感染 ② USB メモリ、SD カードを介しての感染 ③ ネットワークを介しての感染① ウィルス感染ファイルをダウンロード、実行することによる感染 E-mail や Winny、Cabos などのファイル共有ソフト、もしくは Web サイトからダウンロードしたファイルがウィルスに感染しており、それを実行することによってウィルスに感染してしまうケースである。インターネットが普及した現状、ウィルスの主感染形態となっている。しかし本書で議論する閉域ネットワークは、インターネットに接続されていないため、この形態による感染は考えにくい。 3
  • 5. ② USB メモリ、SD カードを介しての感染 閉域ネットワークにおける、ウィルス感染の主原因である。ログ収集やパッチ適用など、端末のメンテナンスに USB メモリや SD カードが使われるが、これらリムーバブルデバイスの特定ファイルを自動実行する機能によってウィルスに感染してしまう。③ ネットワークを介しての感染 閉域ネットワークにおけるウィルス蔓延は、主にネットワークを経由して行われる。ウィルス感染したマシンが、同じ LAN 内にある端末に対してポートスキャンを行い、脆弱性のあるマシンを発見すると、特殊なコマンドを送り込みプログラム実行権限を掌握、感染元マシンからウィルスファイルをダウンロード、実行することにより感染が広がる。感染台数がねずみ算的に増加するため対処が難しく、ネットワークを止めての対処が必要になるケースが多い。5. 閉域ネットワークのウィルス対策が難しい理由 以下3点の理由によって、閉域ネットワークのウィルス対策は進んでいない。 ① 端末のパフォーマンスを維持するため、ウィルスソフトをインストールできない ② サポート対象外になってしまうため、ウィルスソフトをインストールできない ③ 24 時間稼働システムのため、再起動を伴うパッチが当てられない① 端末のパフォーマンスを維持するため、ウィルスソフトをインストールできない PC のリソースを目一杯使うシステムの場合、ウィルスソフトをインストールすることによるパフォーマンス低下が大きな問題となってしまう。② サポート対象外になってしまうため、ウィルスソフトをインストールできないFA 機器を管理する PC は、ウィルスソフトはおろか、OS のサービスパックをインストールすることすら禁止されている場合があり、これらのソフトを使用するとメーカーサポート対象外となってしまうため、セキュリティ脆弱性があることを知りながらも対策が打てない状況になっている。 4
  • 6. ③ 24 時間稼働システムのため、再起動を伴うパッチが当てられない 止めることができない生産ラインとしては、溶鉱炉の温度管理システム、半導体の生産システムなどがある。また医療機器なども患者さんの生命維持につながる機器の場合は、セキュリティパッチを当てることができないケースがある。このような場合、脆弱性があることを知りながらシステムを運用することになるので、ウィルスに感染する危険性も高まる。6. 隔離+治療を実現するソリューション 閉域ネットワークでのウィルス対策は “隔離+治療”によって実現することが重要になる。もしもウィルスに感染しても、その PC だけを隔離することにより、ネットワークを経由しての感染が広がらなければ、駆除にかかる時間も被害も最小限に抑えることができる。そのため隔離、治療にそれぞれ適した製品を組み合わせ、ソリューションとして導入することをお薦めする。<隔離ソリューション> ハンドリームネット社 Subgate セキュリティスイッチシリーズ<治療ソリューション> トレンドマイクロ社 Trend Micro Portable Security 5
  • 7. 先に 5. 閉域ネットワークのウィルス対策が難しい理由 で指摘したとおり、閉域ネットワークではウィルスソフトを用いた検知、隔離が難しいことが多い。そのためウィルスが自身を他の PC に感染させようとする動きを検知して、ウィルスの存在を検知、必要に応じて隔離することが求められる。このような技術を振る舞い検知(アノマリ検知)と呼ぶ。 ハンドリームネット社の Subgate セキュリティスイッチシリーズは、この振る舞い検知を利用してウィルスが他の PC に感染しようとする動きをキャッチして、隔離をしてくれる機能を持った L2 スイッチ製品だ。Subgate には MDS というセキュリティチップが搭載されており、スイッチに接続されたPC 端末との通信をリアルタイムに監視している。 Subgate には様々なセキュリティ機能が搭載されているが、ウィルス隔離に効果を発揮するのは、ポートスキャンを自動で遮断する機能である。 4. 閉域ネットワークでウィルス感染する理由の項目 ③ネットワークを介しての感染 で解説したとおり、ウィルスに感染したマシンは、同じ LAN内にある端末に対してポートスキャンを行い、脆弱性のあるマシンを発見すると、特殊なコマンドを送り込みプログラム実行権限を掌握、感染元マシンからウィルスファイルをダウンロード、実行することにより感染が広がる。 Subgate は MDS によってポートスキャンを検知すると同時に、ポートスキャンのみを遮断するフィルターを生成する。ウィルスに感染した PC は、ターゲットとする PC がどこにいるのかわからなくなり、それらの PC がどのような脆弱性を抱えているのかもわからなくなる。そのためウィルス感染は遮断され、ウィルスに感染した PC の隔離が可能となる。 また問題が起きている PC の把握もリアルタイムに可能だ。Subgate ユーザーには専用の管理用ソフトウェア、Visual Node Manager(VNM) [図3] が無償で提供されている。このソフトウェアは複数のスイッチを一括管理、制御できる機能を持っているが、ポートスキャンをはじめとした攻撃を検知すると、どのスイッチの、何番ポートで障害が起きているかを表示してくれる。また攻撃をしている PC の IP アドレスや MAC アドレスなども把握することができるため、対策を取るべき PC がどれなのか、把握することが可能になる。 繰り返しになるが、ネットワーク感染型ウィルスの場合、まずウィルスが拡散しないように隔離することが何よりも大切になる。そうすることで問題の起きている PC に対処する時間的余裕が生まれるので、治癒を行えばよいのである。 6
  • 8. [図3] Visual Node Manager 治癒にはトレンドマイクロ社の Trend Micro Portable Security(TMPS)を用いるのが有効だ。TMPS は PC にソフトウェアをインストールすることなく、ウィルス感染のチェック、駆除を行えるソリューションである。FA 機器を管理する PC に従来型のウィルス対策ソフトをインストールすると、サポートの対象外となってしまう。そのためウィルスの駆除が難しいという問題があった。 TMPS は USB メモリ型のウィルス対策ソフトであり、ソフトウェアをインストールする必要がないという特徴がある。Subgate がウィルスの感染源と思われる PC を突き止めたら、USB に接続することによりどのようなウィルスに感染しているかスキャンが行え、必要に応じて駆除をすることもできる。必要なときだけウィルスソフトを起動するため、常駐型のソフトウェアを利用しているときのようなパフォーマンス低下も起きないというメリットがある。 7
  • 9. 7. まとめ 人間に感染するウィルスと同様に、ウィルスの感染が発見されたら即座に隔離をすることが重要になる。感染が大流行してからでは、対策に時間がかかるのと同時に、被害も甚大になる。隔離ができていれば感染源の治療に集中すればよい。① 感染源がどこにあるのか、どの端末なのか見極める② 感染源を隔離する③ 感染源を治療する この順序を守ることによって、万が一ウィルスに感染したときにも被害を最小限に留めることができる。Subgate と TMPS の組み合わせソリューションを使い、閉域ネットワークの安全性を実現して頂きたい。 8

×