SlideShare a Scribd company logo

White Paper SG & Trendmicro TMPS

Shotaro Kaida
Shotaro Kaida
1 of 9
Download to read offline
White Paper 閉域ネットワークのウィルス蔓延と セキュリティ対策ソリューション 2011 年 6 月 株式会社ハンドリームネット
1. 概要 本書では、従来ウィルス感染の心配が尐ないとされていた閉域ネットワーク(インターネットに接 続されていないネットワークのこと、クローズドネットワークとも呼ばれる)内で急増しているウィルス・ ワーム蔓延の現状と、技術的解説、及び対策方法について解説することを目的としている。 特に製造業においては、FA 機器を管理する閉域ネットワークでウィルス・ワームが蔓延し、生産 活動が停滞したり、生産ラインの停止に追い込まれたケースも尐なくないことが注目される。 2011 年 3 月 11 日に起こった、東北地方太平洋沖地震によって、国内の生産活動が停滞し ている中、更なる操業停止を防ぐことが喫緊の課題である。その点でウィルス・ワーム対策は計画 停電対策に並ぶ緊急対策事項であると言える。 2. 閉域ネットワークでのウィルス被害事例 2010 年 9 月にイランの原子力発電所でウィルスが発見された。見つかったウィルスは Stuxnet と呼ばれるもので、独 Siemens のマシンを標的として作成された物である。ウィルス解析の結果 USB メモリや SD カードなど、リムーバブルメディアによって一次感染、ネットワークを経由して拡散 することが分かっている。 Stuxnet は工業用システムをターゲットとしたウィルスであり、ウランを濃縮する遠心分離機のモ ーター制御機能を失わせることがわかっている。セキュリティ専門家はイランの原発稼働を阻止 するために何者かがウィルスを作成したと考えている。 原子力発電所のネットワークはインターネットから切り離されたクローズドネットワークにもかかわ らず、システムがウィルスに感染したことで注目が集まった。また高いセキュリティレベルが保たれ ているはずの原子力発電所であっても、ウィルス被害に対して脆弱なことが明らかになった。 感染、拡散の経緯について、公式声明は発表されていないが、専門家によると [図1] にある 通り、原子炉制御ファイルを他の PC とやりとりする際に USB メモリを使用(閉域ネットワークのため、 メールなどを使ってのやりとりができない)したことによって感染が起き、その後ネットワークを通じて 拡散が広がったと推測されている。 1
[図1] 3. 世界中で多発している閉域ネットワークでのウィルス蔓延被害 閉域ネットワークであればウィルスの心配はない、対策を取る必要も無い、という考え方は既に 時代遅れなものとなっている。事実世界中で同じような閉域ネットワークでの感染事例があり、大 きな被害をもたらしている。 日本国内では大手半導体メーカ-の生産ラインで USB メモリが持ち込まれ、FA システムにウィ ルスが感染、ネットワークを通じた二次感染によって LAN 内の PC にウィルスが蔓延、3日間に渡り 生産ラインの停止を招くという大きな被害をもたらした。また同じような被害は隣国の韓国でも起 きている。 アメリカでは米軍施設でウィルスが発見された事例がある。この事例の場合、感染が発見され たのはアメリカ本土の基地であったが、感染源をたどっていくと、アフガニスタン戦略を担っていた 中東の米軍基地が疑われ、当地では軍規に違反して日常的に USB メモリが使われていたとのこ とである。その他 [図2] を見ると世界中で、閉域ネットワーク内での被害が多発していることが わかり、また死亡事故の原因となったものがあるなど、被害も甚大であることがわかる。 2
[図2] 4. 閉域ネットワークでウィルス感染する理由 コンピューターウィルス(自己増殖機能を持つウィルスを特にワームと呼ぶが、ここではウィルス と総称する)の感染ルートとしては大きく次の 3 通りがある。 ① ウィルス感染ファイルをダウンロード、実行することによる感染 ② USB メモリ、SD カードを介しての感染 ③ ネットワークを介しての感染 ① ウィルス感染ファイルをダウンロード、実行することによる感染 E-mail や Winny、Cabos などのファイル共有ソフト、もしくは Web サイトからダウンロードしたファイ ルがウィルスに感染しており、それを実行することによってウィルスに感染してしまうケースである。 インターネットが普及した現状、ウィルスの主感染形態となっている。しかし本書で議論する閉域 ネットワークは、インターネットに接続されていないため、この形態による感染は考えにくい。 3
② USB メモリ、SD カードを介しての感染 閉域ネットワークにおける、ウィルス感染の主原因である。ログ収集やパッチ適用など、端末の メンテナンスに USB メモリや SD カードが使われるが、これらリムーバブルデバイスの特定ファイル を自動実行する機能によってウィルスに感染してしまう。 ③ ネットワークを介しての感染 閉域ネットワークにおけるウィルス蔓延は、主にネットワークを経由して行われる。ウィルス感染 したマシンが、同じ LAN 内にある端末に対してポートスキャンを行い、脆弱性のあるマシンを発見 すると、特殊なコマンドを送り込みプログラム実行権限を掌握、感染元マシンからウィルスファイル をダウンロード、実行することにより感染が広がる。感染台数がねずみ算的に増加するため対処が 難しく、ネットワークを止めての対処が必要になるケースが多い。 5. 閉域ネットワークのウィルス対策が難しい理由 以下3点の理由によって、閉域ネットワークのウィルス対策は進んでいない。 ① 端末のパフォーマンスを維持するため、ウィルスソフトをインストールできない ② サポート対象外になってしまうため、ウィルスソフトをインストールできない ③ 24 時間稼働システムのため、再起動を伴うパッチが当てられない ① 端末のパフォーマンスを維持するため、ウィルスソフトをインストールできない PC のリソースを目一杯使うシステムの場合、ウィルスソフトをインストールすることによるパフォ ーマンス低下が大きな問題となってしまう。 ② サポート対象外になってしまうため、ウィルスソフトをインストールできない FA 機器を管理する PC は、ウィルスソフトはおろか、OS のサービスパックをインストールすること すら禁止されている場合があり、これらのソフトを使用するとメーカーサポート対象外となってしまう ため、セキュリティ脆弱性があることを知りながらも対策が打てない状況になっている。 4
③ 24 時間稼働システムのため、再起動を伴うパッチが当てられない 止めることができない生産ラインとしては、溶鉱炉の温度管理システム、半導体の生産システ ムなどがある。また医療機器なども患者さんの生命維持につながる機器の場合は、セキュリティ パッチを当てることができないケースがある。このような場合、脆弱性があることを知りながらシス テムを運用することになるので、ウィルスに感染する危険性も高まる。 6. 隔離+治療を実現するソリューション 閉域ネットワークでのウィルス対策は “隔離+治療”によって実現することが重要になる。もし もウィルスに感染しても、その PC だけを隔離することにより、ネットワークを経由しての感染が広が らなければ、駆除にかかる時間も被害も最小限に抑えることができる。そのため隔離、治療にそ れぞれ適した製品を組み合わせ、ソリューションとして導入することをお薦めする。 <隔離ソリューション> ハンドリームネット社 Subgate セキュリティスイッチシリーズ <治療ソリューション> トレンドマイクロ社 Trend Micro Portable Security 5
先に 5. 閉域ネットワークのウィルス対策が難しい理由 で指摘したとおり、閉域ネットワークで はウィルスソフトを用いた検知、隔離が難しいことが多い。そのためウィルスが自身を他の PC に感 染させようとする動きを検知して、ウィルスの存在を検知、必要に応じて隔離することが求められ る。このような技術を振る舞い検知(アノマリ検知)と呼ぶ。 ハンドリームネット社の Subgate セキュリティスイッチシリーズは、この振る舞い検知を利用してウ ィルスが他の PC に感染しようとする動きをキャッチして、隔離をしてくれる機能を持った L2 スイッ チ製品だ。Subgate には MDS というセキュリティチップが搭載されており、スイッチに接続された PC 端末との通信をリアルタイムに監視している。 Subgate には様々なセキュリティ機能が搭載されているが、ウィルス隔離に効果を発揮するの は、ポートスキャンを自動で遮断する機能である。 4. 閉域ネットワークでウィルス感染する理由 の項目 ③ネットワークを介しての感染 で解説したとおり、ウィルスに感染したマシンは、同じ LAN 内にある端末に対してポートスキャンを行い、脆弱性のあるマシンを発見すると、特殊なコマンドを 送り込みプログラム実行権限を掌握、感染元マシンからウィルスファイルをダウンロード、実行する ことにより感染が広がる。 Subgate は MDS によってポートスキャンを検知すると同時に、ポートスキャンのみを遮断するフ ィルターを生成する。ウィルスに感染した PC は、ターゲットとする PC がどこにいるのかわからなく なり、それらの PC がどのような脆弱性を抱えているのかもわからなくなる。そのためウィルス感染 は遮断され、ウィルスに感染した PC の隔離が可能となる。 また問題が起きている PC の把握もリアルタイムに可能だ。Subgate ユーザーには専用の管理 用ソフトウェア、Visual Node Manager(VNM) [図3] が無償で提供されている。このソフトウェアは 複数のスイッチを一括管理、制御できる機能を持っているが、ポートスキャンをはじめとした攻撃 を検知すると、どのスイッチの、何番ポートで障害が起きているかを表示してくれる。また攻撃をし ている PC の IP アドレスや MAC アドレスなども把握することができるため、対策を取るべき PC がど れなのか、把握することが可能になる。 繰り返しになるが、ネットワーク感染型ウィルスの場合、まずウィルスが拡散しないように隔離す ることが何よりも大切になる。そうすることで問題の起きている PC に対処する時間的余裕が生ま れるので、治癒を行えばよいのである。 6
[図3] Visual Node Manager 治癒にはトレンドマイクロ社の Trend Micro Portable Security(TMPS)を用いるのが有効だ。 TMPS は PC にソフトウェアをインストールすることなく、ウィルス感染のチェック、駆除を行えるソリュ ーションである。FA 機器を管理する PC に従来型のウィルス対策ソフトをインストールすると、サポ ートの対象外となってしまう。そのためウィルスの駆除が難しいという問題があった。 TMPS は USB メモリ型のウィルス対策ソフトであり、ソフトウェアをインストールする必要がないとい う特徴がある。Subgate がウィルスの感染源と思われる PC を突き止めたら、USB に接続すること によりどのようなウィルスに感染しているかスキャンが行え、必要に応じて駆除をすることもできる。 必要なときだけウィルスソフトを起動するため、常駐型のソフトウェアを利用しているときのようなパ フォーマンス低下も起きないというメリットがある。 7
7. まとめ 人間に感染するウィルスと同様に、ウィルスの感染が発見されたら即座に隔離をすることが重 要になる。感染が大流行してからでは、対策に時間がかかるのと同時に、被害も甚大になる。隔 離ができていれば感染源の治療に集中すればよい。 ① 感染源がどこにあるのか、どの端末なのか見極める ② 感染源を隔離する ③ 感染源を治療する この順序を守ることによって、万が一ウィルスに感染したときにも被害を最小限に留めることが できる。Subgate と TMPS の組み合わせソリューションを使い、閉域ネットワークの安全性を実現し て頂きたい。 8

Recommended

そんなに難しくない、インターネット護身術
そんなに難しくない、インターネット護身術そんなに難しくない、インターネット護身術
そんなに難しくない、インターネット護身術Hijili Kosugi
 
なぜ今 Windows 10 が必要なのか
なぜ今 Windows 10 が必要なのかなぜ今 Windows 10 が必要なのか
なぜ今 Windows 10 が必要なのかMPN Japan
 
Project mids
Project midsProject mids
Project midsssuserb3dd41
 
情報セキュリティCAS 第五十回放送用スライド
情報セキュリティCAS 第五十回放送用スライド情報セキュリティCAS 第五十回放送用スライド
情報セキュリティCAS 第五十回放送用スライドKumasan, LLC.
 
Project15 mid
Project15 midProject15 mid
Project15 midssuserb3dd41
 
話者V2S攻撃: 話者認証から構築される 声質変換とその音声なりすまし可能性の評価
話者V2S攻撃: 話者認証から構築される 声質変換とその音声なりすまし可能性の評価話者V2S攻撃: 話者認証から構築される 声質変換とその音声なりすまし可能性の評価
話者V2S攻撃: 話者認証から構築される 声質変換とその音声なりすまし可能性の評価Shinnosuke Takamichi
 
スマホセキュリティ対策キホン(2回シリーズ・2)
スマホセキュリティ対策キホン(2回シリーズ・2)スマホセキュリティ対策キホン(2回シリーズ・2)
スマホセキュリティ対策キホン(2回シリーズ・2)Noriaki Takamizawa
 
改ざん検知の分類資料
改ざん検知の分類資料改ざん検知の分類資料
改ざん検知の分類資料Kouji Uchiyama
 

Recommended

そんなに難しくない、インターネット護身術
そんなに難しくない、インターネット護身術そんなに難しくない、インターネット護身術
そんなに難しくない、インターネット護身術Hijili Kosugi
 
なぜ今 Windows 10 が必要なのか
なぜ今 Windows 10 が必要なのかなぜ今 Windows 10 が必要なのか
なぜ今 Windows 10 が必要なのかMPN Japan
 
Project mids
Project midsProject mids
Project midsssuserb3dd41
 
情報セキュリティCAS 第五十回放送用スライド
情報セキュリティCAS 第五十回放送用スライド情報セキュリティCAS 第五十回放送用スライド
情報セキュリティCAS 第五十回放送用スライドKumasan, LLC.
 
Project15 mid
Project15 midProject15 mid
Project15 midssuserb3dd41
 
話者V2S攻撃: 話者認証から構築される 声質変換とその音声なりすまし可能性の評価
話者V2S攻撃: 話者認証から構築される 声質変換とその音声なりすまし可能性の評価話者V2S攻撃: 話者認証から構築される 声質変換とその音声なりすまし可能性の評価
話者V2S攻撃: 話者認証から構築される 声質変換とその音声なりすまし可能性の評価Shinnosuke Takamichi
 
スマホセキュリティ対策キホン(2回シリーズ・2)
スマホセキュリティ対策キホン(2回シリーズ・2)スマホセキュリティ対策キホン(2回シリーズ・2)
スマホセキュリティ対策キホン(2回シリーズ・2)Noriaki Takamizawa
 
改ざん検知の分類資料
改ざん検知の分類資料改ざん検知の分類資料
改ざん検知の分類資料Kouji Uchiyama
 
Subgate Security Switch
Subgate Security SwitchSubgate Security Switch
Subgate Security SwitchShotaro Kaida
 
Subgate for FA Network
Subgate for FA NetworkSubgate for FA Network
Subgate for FA NetworkShotaro Kaida
 
SG Security Switch Brochure
SG Security Switch BrochureSG Security Switch Brochure
SG Security Switch BrochureShotaro Kaida
 
Attracting (and keeping) wider audiences with internet content.
Attracting (and keeping) wider audiences with internet content.Attracting (and keeping) wider audiences with internet content.
Attracting (and keeping) wider audiences with internet content.Tim Parsons
 
Quickflix 2010 AGM Presentation
Quickflix 2010 AGM PresentationQuickflix 2010 AGM Presentation
Quickflix 2010 AGM PresentationTim Parsons
 
Qfx strategic vision for SPAA 2010
Qfx strategic vision for SPAA 2010Qfx strategic vision for SPAA 2010
Qfx strategic vision for SPAA 2010Tim Parsons
 
MEGA Info 2009
MEGA Info 2009MEGA Info 2009
MEGA Info 2009Tim Parsons
 
Future Agency vision for CMMA09
Future Agency vision for CMMA09Future Agency vision for CMMA09
Future Agency vision for CMMA09Tim Parsons
 
Erp Product Knowledge 201504
Erp Product Knowledge 201504Erp Product Knowledge 201504
Erp Product Knowledge 201504Yudhi Aprianto
 
SmartCity Indonesia
SmartCity IndonesiaSmartCity Indonesia
SmartCity IndonesiaYudhi Aprianto
 
YAPC::Asia2014 - O2O/IoT/Wearable時代におけるWeb以外のネットワーク技術入門
YAPC::Asia2014 - O2O/IoT/Wearable時代におけるWeb以外のネットワーク技術入門YAPC::Asia2014 - O2O/IoT/Wearable時代におけるWeb以外のネットワーク技術入門
YAPC::Asia2014 - O2O/IoT/Wearable時代におけるWeb以外のネットワーク技術入門Recruit Technologies
 
On-Live Show Presso 30th April 2012
On-Live Show Presso 30th April 2012On-Live Show Presso 30th April 2012
On-Live Show Presso 30th April 2012Tim Parsons
 
MoMoSyd Presentation: Hyperlocal with the Neighbourhood Networks Platform by ...
MoMoSyd Presentation: Hyperlocal with the Neighbourhood Networks Platform by ...MoMoSyd Presentation: Hyperlocal with the Neighbourhood Networks Platform by ...
MoMoSyd Presentation: Hyperlocal with the Neighbourhood Networks Platform by ...Tim Parsons
 
Online Culture IS The Culture
Online Culture IS The CultureOnline Culture IS The Culture
Online Culture IS The CultureTim Parsons
 
Mobile Monday Sydney - Feb 2009 - Mobile Predictions
Mobile Monday Sydney - Feb 2009 - Mobile PredictionsMobile Monday Sydney - Feb 2009 - Mobile Predictions
Mobile Monday Sydney - Feb 2009 - Mobile PredictionsTim Parsons
 
Quickflix vision
Quickflix visionQuickflix vision
Quickflix visionTim Parsons
 
Quickflix Hybrid Multiplatform Service Launching 2011
Quickflix Hybrid Multiplatform Service Launching 2011Quickflix Hybrid Multiplatform Service Launching 2011
Quickflix Hybrid Multiplatform Service Launching 2011Tim Parsons
 
2 GET apresentação pre-lançamento
2 GET apresentação pre-lançamento 2 GET apresentação pre-lançamento
2 GET apresentação pre-lançamento carlosntn
 
Sucesiones
SucesionesSucesiones
Sucesionessristian96
 
60 1218
60 121860 1218
60 1218joislove
 
【Interop tokyo 2014】 AMP Everywhere ネットワークに統合された高度なマルウェア防御
【Interop tokyo 2014】 AMP Everywhere ネットワークに統合された高度なマルウェア防御【Interop tokyo 2014】 AMP Everywhere ネットワークに統合された高度なマルウェア防御
【Interop tokyo 2014】 AMP Everywhere ネットワークに統合された高度なマルウェア防御シスコシステムズ合同会社
 
Kavya racharla ndh-naropanth_fin_jp-final
Kavya racharla ndh-naropanth_fin_jp-finalKavya racharla ndh-naropanth_fin_jp-final
Kavya racharla ndh-naropanth_fin_jp-finalPacSecJP
 

More Related Content

Viewers also liked

Subgate Security Switch
Subgate Security SwitchSubgate Security Switch
Subgate Security SwitchShotaro Kaida
 
Subgate for FA Network
Subgate for FA NetworkSubgate for FA Network
Subgate for FA NetworkShotaro Kaida
 
SG Security Switch Brochure
SG Security Switch BrochureSG Security Switch Brochure
SG Security Switch BrochureShotaro Kaida
 
Attracting (and keeping) wider audiences with internet content.
Attracting (and keeping) wider audiences with internet content.Attracting (and keeping) wider audiences with internet content.
Attracting (and keeping) wider audiences with internet content.Tim Parsons
 
Quickflix 2010 AGM Presentation
Quickflix 2010 AGM PresentationQuickflix 2010 AGM Presentation
Quickflix 2010 AGM PresentationTim Parsons
 
Qfx strategic vision for SPAA 2010
Qfx strategic vision for SPAA 2010Qfx strategic vision for SPAA 2010
Qfx strategic vision for SPAA 2010Tim Parsons
 
Future Agency vision for CMMA09
Future Agency vision for CMMA09Future Agency vision for CMMA09
Future Agency vision for CMMA09Tim Parsons
 
Erp Product Knowledge 201504
Erp Product Knowledge 201504Erp Product Knowledge 201504
Erp Product Knowledge 201504Yudhi Aprianto
 
YAPC::Asia2014 - O2O/IoT/Wearable時代におけるWeb以外のネットワーク技術入門
YAPC::Asia2014 - O2O/IoT/Wearable時代におけるWeb以外のネットワーク技術入門YAPC::Asia2014 - O2O/IoT/Wearable時代におけるWeb以外のネットワーク技術入門
YAPC::Asia2014 - O2O/IoT/Wearable時代におけるWeb以外のネットワーク技術入門Recruit Technologies
 
On-Live Show Presso 30th April 2012
On-Live Show Presso 30th April 2012On-Live Show Presso 30th April 2012
On-Live Show Presso 30th April 2012Tim Parsons
 
MoMoSyd Presentation: Hyperlocal with the Neighbourhood Networks Platform by ...
MoMoSyd Presentation: Hyperlocal with the Neighbourhood Networks Platform by ...MoMoSyd Presentation: Hyperlocal with the Neighbourhood Networks Platform by ...
MoMoSyd Presentation: Hyperlocal with the Neighbourhood Networks Platform by ...Tim Parsons
 
Online Culture IS The Culture
Online Culture IS The CultureOnline Culture IS The Culture
Online Culture IS The CultureTim Parsons
 
Mobile Monday Sydney - Feb 2009 - Mobile Predictions
Mobile Monday Sydney - Feb 2009 - Mobile PredictionsMobile Monday Sydney - Feb 2009 - Mobile Predictions
Mobile Monday Sydney - Feb 2009 - Mobile PredictionsTim Parsons
 
Quickflix vision
Quickflix visionQuickflix vision
Quickflix visionTim Parsons
 
Quickflix Hybrid Multiplatform Service Launching 2011
Quickflix Hybrid Multiplatform Service Launching 2011Quickflix Hybrid Multiplatform Service Launching 2011
Quickflix Hybrid Multiplatform Service Launching 2011Tim Parsons
 
2 GET apresentação pre-lançamento
2 GET apresentação pre-lançamento 2 GET apresentação pre-lançamento
2 GET apresentação pre-lançamento carlosntn
 

Viewers also liked (20)

Subgate Security Switch
Subgate Security SwitchSubgate Security Switch
Subgate Security Switch
 
Subgate for FA Network
Subgate for FA NetworkSubgate for FA Network
Subgate for FA Network
 
SG Security Switch Brochure
SG Security Switch BrochureSG Security Switch Brochure
SG Security Switch Brochure
 
Attracting (and keeping) wider audiences with internet content.
Attracting (and keeping) wider audiences with internet content.Attracting (and keeping) wider audiences with internet content.
Attracting (and keeping) wider audiences with internet content.
 
Quickflix 2010 AGM Presentation
Quickflix 2010 AGM PresentationQuickflix 2010 AGM Presentation
Quickflix 2010 AGM Presentation
 
Qfx strategic vision for SPAA 2010
Qfx strategic vision for SPAA 2010Qfx strategic vision for SPAA 2010
Qfx strategic vision for SPAA 2010
 
MEGA Info 2009
MEGA Info 2009MEGA Info 2009
MEGA Info 2009
 
Future Agency vision for CMMA09
Future Agency vision for CMMA09Future Agency vision for CMMA09
Future Agency vision for CMMA09
 
Erp Product Knowledge 201504
Erp Product Knowledge 201504Erp Product Knowledge 201504
Erp Product Knowledge 201504
 
SmartCity Indonesia
SmartCity IndonesiaSmartCity Indonesia
SmartCity Indonesia
 
YAPC::Asia2014 - O2O/IoT/Wearable時代におけるWeb以外のネットワーク技術入門
YAPC::Asia2014 - O2O/IoT/Wearable時代におけるWeb以外のネットワーク技術入門YAPC::Asia2014 - O2O/IoT/Wearable時代におけるWeb以外のネットワーク技術入門
YAPC::Asia2014 - O2O/IoT/Wearable時代におけるWeb以外のネットワーク技術入門
 
On-Live Show Presso 30th April 2012
On-Live Show Presso 30th April 2012On-Live Show Presso 30th April 2012
On-Live Show Presso 30th April 2012
 
MoMoSyd Presentation: Hyperlocal with the Neighbourhood Networks Platform by ...
MoMoSyd Presentation: Hyperlocal with the Neighbourhood Networks Platform by ...MoMoSyd Presentation: Hyperlocal with the Neighbourhood Networks Platform by ...
MoMoSyd Presentation: Hyperlocal with the Neighbourhood Networks Platform by ...
 
Online Culture IS The Culture
Online Culture IS The CultureOnline Culture IS The Culture
Online Culture IS The Culture
 
Mobile Monday Sydney - Feb 2009 - Mobile Predictions
Mobile Monday Sydney - Feb 2009 - Mobile PredictionsMobile Monday Sydney - Feb 2009 - Mobile Predictions
Mobile Monday Sydney - Feb 2009 - Mobile Predictions
 
Quickflix vision
Quickflix visionQuickflix vision
Quickflix vision
 
Quickflix Hybrid Multiplatform Service Launching 2011
Quickflix Hybrid Multiplatform Service Launching 2011Quickflix Hybrid Multiplatform Service Launching 2011
Quickflix Hybrid Multiplatform Service Launching 2011
 
2 GET apresentação pre-lançamento
2 GET apresentação pre-lançamento 2 GET apresentação pre-lançamento
2 GET apresentação pre-lançamento
 
Sucesiones
SucesionesSucesiones
Sucesiones
 
60 1218
60 121860 1218
60 1218
 

Similar to White Paper SG &amp; Trendmicro TMPS

【Interop tokyo 2014】 AMP Everywhere ネットワークに統合された高度なマルウェア防御
【Interop tokyo 2014】 AMP Everywhere ネットワークに統合された高度なマルウェア防御【Interop tokyo 2014】 AMP Everywhere ネットワークに統合された高度なマルウェア防御
【Interop tokyo 2014】 AMP Everywhere ネットワークに統合された高度なマルウェア防御シスコシステムズ合同会社
 
Kavya racharla ndh-naropanth_fin_jp-final
Kavya racharla ndh-naropanth_fin_jp-finalKavya racharla ndh-naropanth_fin_jp-final
Kavya racharla ndh-naropanth_fin_jp-finalPacSecJP
 
20170210 security talos
20170210 security talos20170210 security talos
20170210 security talosTetsuo Mitsuda
 
マイクロソフトのITコンシューマライゼーション 1 - フレキシブルワークスタイルの概要 第2版
マイクロソフトのITコンシューマライゼーション 1 - フレキシブルワークスタイルの概要 第2版マイクロソフトのITコンシューマライゼーション 1 - フレキシブルワークスタイルの概要 第2版
マイクロソフトのITコンシューマライゼーション 1 - フレキシブルワークスタイルの概要 第2版junichi anno
 
2013年度enPiT特設講義-iisec-2013-11-09-セキュアシステムのインターネットと SNS上での構築とその課題
2013年度enPiT特設講義-iisec-2013-11-09-セキュアシステムのインターネットと SNS上での構築とその課題2013年度enPiT特設講義-iisec-2013-11-09-セキュアシステムのインターネットと SNS上での構築とその課題
2013年度enPiT特設講義-iisec-2013-11-09-セキュアシステムのインターネットと SNS上での構築とその課題Ruo Ando
 
セキュリティ強靭性向上対策モデルの実現
セキュリティ強靭性向上対策モデルの実現セキュリティ強靭性向上対策モデルの実現
セキュリティ強靭性向上対策モデルの実現KitASP_Corporation
 
シスコの最新スイッチで実現するエンタープライズ ネットワーキングのすすめ
シスコの最新スイッチで実現するエンタープライズ ネットワーキングのすすめシスコの最新スイッチで実現するエンタープライズ ネットワーキングのすすめ
シスコの最新スイッチで実現するエンタープライズ ネットワーキングのすすめシスコシステムズ合同会社
 
Future vuls introduction
Future vuls introductionFuture vuls introduction
Future vuls introductioncsig-info
 
IT エンジニアのための 流し読み Windows 10 - Microsoft Defender ウイルス対策
IT エンジニアのための 流し読み Windows 10 - Microsoft Defender ウイルス対策IT エンジニアのための 流し読み Windows 10 - Microsoft Defender ウイルス対策
IT エンジニアのための 流し読み Windows 10 - Microsoft Defender ウイルス対策TAKUYA OHTA
 
SOFTCAMP SHIELDEX 詳細な紹介資料及び ​導入事例
SOFTCAMP SHIELDEX 詳細な紹介資料及び ​導入事例SOFTCAMP SHIELDEX 詳細な紹介資料及び ​導入事例
SOFTCAMP SHIELDEX 詳細な紹介資料及び ​導入事例Softcamp Co., Ltd.
 
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデルシスコシステムズ合同会社
 
オープン性とセキュリティを両立させる効率的な企業ネットワーク
オープン性とセキュリティを両立させる効率的な企業ネットワークオープン性とセキュリティを両立させる効率的な企業ネットワーク
オープン性とセキュリティを両立させる効率的な企業ネットワークHideyuki Fukuoka
 

Similar to White Paper SG &amp; Trendmicro TMPS (20)

【Interop tokyo 2014】 AMP Everywhere ネットワークに統合された高度なマルウェア防御
【Interop tokyo 2014】 AMP Everywhere ネットワークに統合された高度なマルウェア防御【Interop tokyo 2014】 AMP Everywhere ネットワークに統合された高度なマルウェア防御
【Interop tokyo 2014】 AMP Everywhere ネットワークに統合された高度なマルウェア防御
 
Kavya racharla ndh-naropanth_fin_jp-final
Kavya racharla ndh-naropanth_fin_jp-finalKavya racharla ndh-naropanth_fin_jp-final
Kavya racharla ndh-naropanth_fin_jp-final
 
自治体セキュリティ強靭化対策のためのシンクライアント入門
自治体セキュリティ強靭化対策のためのシンクライアント入門自治体セキュリティ強靭化対策のためのシンクライアント入門
自治体セキュリティ強靭化対策のためのシンクライアント入門
 
P41 Thompson Jp[1]
P41 Thompson Jp[1]P41 Thompson Jp[1]
P41 Thompson Jp[1]
 
6 9security2
6 9security26 9security2
6 9security2
 
20170210 security talos
20170210 security talos20170210 security talos
20170210 security talos
 
6 9security
6 9security6 9security
6 9security
 
マイクロソフトのITコンシューマライゼーション 1 - フレキシブルワークスタイルの概要 第2版
マイクロソフトのITコンシューマライゼーション 1 - フレキシブルワークスタイルの概要 第2版マイクロソフトのITコンシューマライゼーション 1 - フレキシブルワークスタイルの概要 第2版
マイクロソフトのITコンシューマライゼーション 1 - フレキシブルワークスタイルの概要 第2版
 
5 23security2
5 23security25 23security2
5 23security2
 
Vectra Networks Love
Vectra Networks LoveVectra Networks Love
Vectra Networks Love
 
2013年度enPiT特設講義-iisec-2013-11-09-セキュアシステムのインターネットと SNS上での構築とその課題
2013年度enPiT特設講義-iisec-2013-11-09-セキュアシステムのインターネットと SNS上での構築とその課題2013年度enPiT特設講義-iisec-2013-11-09-セキュアシステムのインターネットと SNS上での構築とその課題
2013年度enPiT特設講義-iisec-2013-11-09-セキュアシステムのインターネットと SNS上での構築とその課題
 
セキュリティ強靭性向上対策モデルの実現
セキュリティ強靭性向上対策モデルの実現セキュリティ強靭性向上対策モデルの実現
セキュリティ強靭性向上対策モデルの実現
 
シスコの最新スイッチで実現するエンタープライズ ネットワーキングのすすめ
シスコの最新スイッチで実現するエンタープライズ ネットワーキングのすすめシスコの最新スイッチで実現するエンタープライズ ネットワーキングのすすめ
シスコの最新スイッチで実現するエンタープライズ ネットワーキングのすすめ
 
Future vuls introduction
Future vuls introductionFuture vuls introduction
Future vuls introduction
 
6 1security3
6 1security36 1security3
6 1security3
 
Vcn daylive-2020 nsx-didps
Vcn daylive-2020 nsx-didpsVcn daylive-2020 nsx-didps
Vcn daylive-2020 nsx-didps
 
IT エンジニアのための 流し読み Windows 10 - Microsoft Defender ウイルス対策
IT エンジニアのための 流し読み Windows 10 - Microsoft Defender ウイルス対策IT エンジニアのための 流し読み Windows 10 - Microsoft Defender ウイルス対策
IT エンジニアのための 流し読み Windows 10 - Microsoft Defender ウイルス対策
 
SOFTCAMP SHIELDEX 詳細な紹介資料及び ​導入事例
SOFTCAMP SHIELDEX 詳細な紹介資料及び ​導入事例SOFTCAMP SHIELDEX 詳細な紹介資料及び ​導入事例
SOFTCAMP SHIELDEX 詳細な紹介資料及び ​導入事例
 
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル
 
オープン性とセキュリティを両立させる効率的な企業ネットワーク
オープン性とセキュリティを両立させる効率的な企業ネットワークオープン性とセキュリティを両立させる効率的な企業ネットワーク
オープン性とセキュリティを両立させる効率的な企業ネットワーク
 

White Paper SG &amp; Trendmicro TMPS

  • 1. White Paper 閉域ネットワークのウィルス蔓延と セキュリティ対策ソリューション 2011 年 6 月 株式会社ハンドリームネット
  • 2. 1. 概要 本書では、従来ウィルス感染の心配が尐ないとされていた閉域ネットワーク(インターネットに接 続されていないネットワークのこと、クローズドネットワークとも呼ばれる)内で急増しているウィルス・ ワーム蔓延の現状と、技術的解説、及び対策方法について解説することを目的としている。 特に製造業においては、FA 機器を管理する閉域ネットワークでウィルス・ワームが蔓延し、生産 活動が停滞したり、生産ラインの停止に追い込まれたケースも尐なくないことが注目される。 2011 年 3 月 11 日に起こった、東北地方太平洋沖地震によって、国内の生産活動が停滞し ている中、更なる操業停止を防ぐことが喫緊の課題である。その点でウィルス・ワーム対策は計画 停電対策に並ぶ緊急対策事項であると言える。 2. 閉域ネットワークでのウィルス被害事例 2010 年 9 月にイランの原子力発電所でウィルスが発見された。見つかったウィルスは Stuxnet と呼ばれるもので、独 Siemens のマシンを標的として作成された物である。ウィルス解析の結果 USB メモリや SD カードなど、リムーバブルメディアによって一次感染、ネットワークを経由して拡散 することが分かっている。 Stuxnet は工業用システムをターゲットとしたウィルスであり、ウランを濃縮する遠心分離機のモ ーター制御機能を失わせることがわかっている。セキュリティ専門家はイランの原発稼働を阻止 するために何者かがウィルスを作成したと考えている。 原子力発電所のネットワークはインターネットから切り離されたクローズドネットワークにもかかわ らず、システムがウィルスに感染したことで注目が集まった。また高いセキュリティレベルが保たれ ているはずの原子力発電所であっても、ウィルス被害に対して脆弱なことが明らかになった。 感染、拡散の経緯について、公式声明は発表されていないが、専門家によると [図1] にある 通り、原子炉制御ファイルを他の PC とやりとりする際に USB メモリを使用(閉域ネットワークのため、 メールなどを使ってのやりとりができない)したことによって感染が起き、その後ネットワークを通じて 拡散が広がったと推測されている。 1
  • 3. [図1] 3. 世界中で多発している閉域ネットワークでのウィルス蔓延被害 閉域ネットワークであればウィルスの心配はない、対策を取る必要も無い、という考え方は既に 時代遅れなものとなっている。事実世界中で同じような閉域ネットワークでの感染事例があり、大 きな被害をもたらしている。 日本国内では大手半導体メーカ-の生産ラインで USB メモリが持ち込まれ、FA システムにウィ ルスが感染、ネットワークを通じた二次感染によって LAN 内の PC にウィルスが蔓延、3日間に渡り 生産ラインの停止を招くという大きな被害をもたらした。また同じような被害は隣国の韓国でも起 きている。 アメリカでは米軍施設でウィルスが発見された事例がある。この事例の場合、感染が発見され たのはアメリカ本土の基地であったが、感染源をたどっていくと、アフガニスタン戦略を担っていた 中東の米軍基地が疑われ、当地では軍規に違反して日常的に USB メモリが使われていたとのこ とである。その他 [図2] を見ると世界中で、閉域ネットワーク内での被害が多発していることが わかり、また死亡事故の原因となったものがあるなど、被害も甚大であることがわかる。 2
  • 4. [図2] 4. 閉域ネットワークでウィルス感染する理由 コンピューターウィルス(自己増殖機能を持つウィルスを特にワームと呼ぶが、ここではウィルス と総称する)の感染ルートとしては大きく次の 3 通りがある。 ① ウィルス感染ファイルをダウンロード、実行することによる感染 ② USB メモリ、SD カードを介しての感染 ③ ネットワークを介しての感染 ① ウィルス感染ファイルをダウンロード、実行することによる感染 E-mail や Winny、Cabos などのファイル共有ソフト、もしくは Web サイトからダウンロードしたファイ ルがウィルスに感染しており、それを実行することによってウィルスに感染してしまうケースである。 インターネットが普及した現状、ウィルスの主感染形態となっている。しかし本書で議論する閉域 ネットワークは、インターネットに接続されていないため、この形態による感染は考えにくい。 3
  • 5. USB メモリ、SD カードを介しての感染 閉域ネットワークにおける、ウィルス感染の主原因である。ログ収集やパッチ適用など、端末の メンテナンスに USB メモリや SD カードが使われるが、これらリムーバブルデバイスの特定ファイル を自動実行する機能によってウィルスに感染してしまう。 ③ ネットワークを介しての感染 閉域ネットワークにおけるウィルス蔓延は、主にネットワークを経由して行われる。ウィルス感染 したマシンが、同じ LAN 内にある端末に対してポートスキャンを行い、脆弱性のあるマシンを発見 すると、特殊なコマンドを送り込みプログラム実行権限を掌握、感染元マシンからウィルスファイル をダウンロード、実行することにより感染が広がる。感染台数がねずみ算的に増加するため対処が 難しく、ネットワークを止めての対処が必要になるケースが多い。 5. 閉域ネットワークのウィルス対策が難しい理由 以下3点の理由によって、閉域ネットワークのウィルス対策は進んでいない。 ① 端末のパフォーマンスを維持するため、ウィルスソフトをインストールできない ② サポート対象外になってしまうため、ウィルスソフトをインストールできない ③ 24 時間稼働システムのため、再起動を伴うパッチが当てられない ① 端末のパフォーマンスを維持するため、ウィルスソフトをインストールできない PC のリソースを目一杯使うシステムの場合、ウィルスソフトをインストールすることによるパフォ ーマンス低下が大きな問題となってしまう。 ② サポート対象外になってしまうため、ウィルスソフトをインストールできない FA 機器を管理する PC は、ウィルスソフトはおろか、OS のサービスパックをインストールすること すら禁止されている場合があり、これらのソフトを使用するとメーカーサポート対象外となってしまう ため、セキュリティ脆弱性があることを知りながらも対策が打てない状況になっている。 4
  • 6. 24 時間稼働システムのため、再起動を伴うパッチが当てられない 止めることができない生産ラインとしては、溶鉱炉の温度管理システム、半導体の生産システ ムなどがある。また医療機器なども患者さんの生命維持につながる機器の場合は、セキュリティ パッチを当てることができないケースがある。このような場合、脆弱性があることを知りながらシス テムを運用することになるので、ウィルスに感染する危険性も高まる。 6. 隔離+治療を実現するソリューション 閉域ネットワークでのウィルス対策は “隔離+治療”によって実現することが重要になる。もし もウィルスに感染しても、その PC だけを隔離することにより、ネットワークを経由しての感染が広が らなければ、駆除にかかる時間も被害も最小限に抑えることができる。そのため隔離、治療にそ れぞれ適した製品を組み合わせ、ソリューションとして導入することをお薦めする。 <隔離ソリューション> ハンドリームネット社 Subgate セキュリティスイッチシリーズ <治療ソリューション> トレンドマイクロ社 Trend Micro Portable Security 5
  • 7. 先に 5. 閉域ネットワークのウィルス対策が難しい理由 で指摘したとおり、閉域ネットワークで はウィルスソフトを用いた検知、隔離が難しいことが多い。そのためウィルスが自身を他の PC に感 染させようとする動きを検知して、ウィルスの存在を検知、必要に応じて隔離することが求められ る。このような技術を振る舞い検知(アノマリ検知)と呼ぶ。 ハンドリームネット社の Subgate セキュリティスイッチシリーズは、この振る舞い検知を利用してウ ィルスが他の PC に感染しようとする動きをキャッチして、隔離をしてくれる機能を持った L2 スイッ チ製品だ。Subgate には MDS というセキュリティチップが搭載されており、スイッチに接続された PC 端末との通信をリアルタイムに監視している。 Subgate には様々なセキュリティ機能が搭載されているが、ウィルス隔離に効果を発揮するの は、ポートスキャンを自動で遮断する機能である。 4. 閉域ネットワークでウィルス感染する理由 の項目 ③ネットワークを介しての感染 で解説したとおり、ウィルスに感染したマシンは、同じ LAN 内にある端末に対してポートスキャンを行い、脆弱性のあるマシンを発見すると、特殊なコマンドを 送り込みプログラム実行権限を掌握、感染元マシンからウィルスファイルをダウンロード、実行する ことにより感染が広がる。 Subgate は MDS によってポートスキャンを検知すると同時に、ポートスキャンのみを遮断するフ ィルターを生成する。ウィルスに感染した PC は、ターゲットとする PC がどこにいるのかわからなく なり、それらの PC がどのような脆弱性を抱えているのかもわからなくなる。そのためウィルス感染 は遮断され、ウィルスに感染した PC の隔離が可能となる。 また問題が起きている PC の把握もリアルタイムに可能だ。Subgate ユーザーには専用の管理 用ソフトウェア、Visual Node Manager(VNM) [図3] が無償で提供されている。このソフトウェアは 複数のスイッチを一括管理、制御できる機能を持っているが、ポートスキャンをはじめとした攻撃 を検知すると、どのスイッチの、何番ポートで障害が起きているかを表示してくれる。また攻撃をし ている PC の IP アドレスや MAC アドレスなども把握することができるため、対策を取るべき PC がど れなのか、把握することが可能になる。 繰り返しになるが、ネットワーク感染型ウィルスの場合、まずウィルスが拡散しないように隔離す ることが何よりも大切になる。そうすることで問題の起きている PC に対処する時間的余裕が生ま れるので、治癒を行えばよいのである。 6
  • 8. [図3] Visual Node Manager 治癒にはトレンドマイクロ社の Trend Micro Portable Security(TMPS)を用いるのが有効だ。 TMPS は PC にソフトウェアをインストールすることなく、ウィルス感染のチェック、駆除を行えるソリュ ーションである。FA 機器を管理する PC に従来型のウィルス対策ソフトをインストールすると、サポ ートの対象外となってしまう。そのためウィルスの駆除が難しいという問題があった。 TMPS は USB メモリ型のウィルス対策ソフトであり、ソフトウェアをインストールする必要がないとい う特徴がある。Subgate がウィルスの感染源と思われる PC を突き止めたら、USB に接続すること によりどのようなウィルスに感染しているかスキャンが行え、必要に応じて駆除をすることもできる。 必要なときだけウィルスソフトを起動するため、常駐型のソフトウェアを利用しているときのようなパ フォーマンス低下も起きないというメリットがある。 7
  • 9. 7. まとめ 人間に感染するウィルスと同様に、ウィルスの感染が発見されたら即座に隔離をすることが重 要になる。感染が大流行してからでは、対策に時間がかかるのと同時に、被害も甚大になる。隔 離ができていれば感染源の治療に集中すればよい。 ① 感染源がどこにあるのか、どの端末なのか見極める ② 感染源を隔離する ③ 感染源を治療する この順序を守ることによって、万が一ウィルスに感染したときにも被害を最小限に留めることが できる。Subgate と TMPS の組み合わせソリューションを使い、閉域ネットワークの安全性を実現し て頂きたい。 8