ADSLをはじめとするブロードバンド環境が普及した昨今、常時接続の一般化とデータ通信量の増大に伴い、ユーザーがインターネットに潜む危険性にさらされる可能性が高くなっている。
こんな中、先日トレンドマイクロが発表した「GateLock」は、PPPoEやDHCPに対応したいわゆるブロードバンドルータであるが、ウイルス対策ソフトの「ウイルスバスター」などを発売する同社らしく、セキュリティ機能を強化して「個人向けファイアウォール」と呼ぶのにふさわしい製品になっている。
今回、トレンドマイクロより英語版の製品を借りることができたので、それをご紹介しよう。
■GateLockで何ができる?
GateLockには、PPPoEやDHCPクライアント機能があり、さらにDHCPホスト機能もあるので、普通のルータのようにして使える。しかしその他にもGateLockは、以下のような機能を備えている。
ウイルス検知機能
アタック検知機能
普通のルータにも、多くの製品には外部から内部へのアクセスを制限する「簡易ファイアウォール」と呼ばれるようなセキュリティ機能は備えられている。しかし、GateLockはそのセキュリティ機能を中心に製品が設計されているのだ。
■どのように使うの?
|
GateLockの背面。WANとLANのポートがある。WANポートはハブとパソコンのどちらにも接続可能 | |
GateLockは、普通のブロードバンドルータのようにネットワークに接続する。たとえばADSLモデムを使う場合、ADSLモデムのイーサポートにGateLockのWANポートを接続し、GateLockのLANポートにハブやパソコンのイーサポートを接続する。ハブをつないでおけば、複数のマシンでインターネットを共有することも可能だ。
各種機能の設定はWebブラウザで行なう。LAN側のパソコンから「192.168.253.1」でGateLockにアクセスする。インターネットに接続する設定は「PPPoE」「動的IP」「固定IP」から選べて、それぞれ簡単に設定ができる「Quick Setup」が用意されている。
セキュリティ関連の機能や、高度なネットワーク設定機能などもWebブラウザから行なう。LAN側のサーバーを外部に公開するポートフォワードなども利用できるので、自宅サーバーを立てている人でもOKだ。
|
GateLockの操作画面。すべての設定はWebブラウザで行なう |
GateLockのファームウェアのアップデートなどの操作も、Webブラウザから行なう。ただし、ファームウェアやウイルスのパターンファイルなどは「30分毎に新しいものをチェックして、自動アップデート」のように設定しておくことで、メンテナンスフリーで最新のウイルスなどに対策することも可能だ。一般的にルータは、ほぼ常時電源が入っているわりには、そのメンテナンスは毎日するものでもない。自動更新機能はうれしいところだ。
ちなみに今回借りた製品のレビュー環境では、フレッツ・ADSLでOCNに接続している。LAN側には1台の無線LANアクセスポイントがあり、さらにLAN上にある1台のWindows 2000のWebサーバーをポートフォワードによってインターネットに公開してみた。
■ウイルスをブロック!
|
ウイルスの検知設定画面。Webメールと普通のメールについて設定する |
GateLockは、通過するメールのパケットデータを監視し、そこに含まれているウイルスをブロックすることができる。監視の対象となるのはPOP3(つまり普通のメール)とWebメールサービスで受信したメール。
たとえばLAN内部のユーザーが、Outlookなどでインターネット上のサーバーにメールを読みに行ったとする。そのとき、受信するメールの中にウイルスが添付されたメールが含まれていた場合、そのメールの代わりに「GateLockは、あなた宛のメールでウイルスを検知したから削除しました」というメールが届き、ウイルスは無害なものに変換されるか、削除される。
|
ウイルスを検知すると、GateLock側にもログが残る |
ウイルス対策ソフトのメール監視機能と同じような役目を果たしてくれるわけだが、複数のマシンがLANを構成しているような環境では非常に便利な機能である。GateLockならば、各マシンにソフトを個別にインストールし、1台1台のパターンファイルを更新する必要などが省けるわけだ。
ただし、ウイルスはメールだけでなく、ダウンロードしたプログラムから侵入してくることも考えられる。万全を期すならばメールだけを監視するのではなく、ハードディスク上のウイルスもチェックするべきだ。
残念ながら編集部で借りた英語版にはその機能はなかったが、日本語版のGateLockには、各マシンのハードディスクをウイルスチェックする機能がある。これは、トレンドマイクロが同社のホームページ上で行なっているのと同等の機能で、インターネットを介してウイルスチェックソフトをダウンロードし、その場で実行するというものだ。
なお、当然であるがウイルス対策については「ウイルスバスター」などの製品を出しているトレンドマイクロが担当する。同社はすでに対ウイルスの研究体制を持っているので、最新のウイルスへの素早い対応が期待できる。このあたりは、普通のルータメーカーにはなかなかマネできない点だろう。
■アタックもブロック!
|
対アタックの設定画面 |
「アタック」とは、悪意を持つ人(もしくはプログラム)がネットワーク上のサーバーに対して何らかの操作を行ない、データを盗み出したり、サーバーを破壊したりする行為のことである。普通のユーザーにとっては関係のないことと思われがちなのだが、最近では常時接続が当たり前となり、ユーザーがインターネットの危険にさらされる可能性が高くなってきた。
たとえば、いまだに被害が続いているNimdaというウイルスについて考えてみよう。メールや共有フォルダなどさまざまな方法で感染マシンを増やすウイルスで、インターネット上に公開されているWebサーバーにもアタックを仕掛け、感染を試みようとする。
実際に今回の試用では、GateLockを仲介してインターネットにサーバーを公開していたのだが、試用期間11月9日午前4時~11月12日午前6時までの間に、実に100回近いNimdaによるものと思われるアタックを検出した。常時接続が一般化するに従い、一般ユーザーのパソコンが感染するなどして、攻撃者が増えているのだ。
ルータを介さずにパソコンとモデムを直接接続している人などは、これらのアタックに直にさらされることになる。アタックに対する防御は、もはや一般ユーザーに関係のないレベルの話ではない。
一般的なアタックは、通常ルータに備わっている「簡易ファイアウォール機能」と呼ばれるもので防ぐことができる。ルータは複数台で回線を共有する仕組みを持っているので、それを利用する限り、別途設定をしておかない限り、外部からのアクセス要求を内部の特定のマシンへ接続できない。
|
ポートフォワード設定画面。メジャーなアプリケーションのポートは入力せずに選ぶだけ |
内部のサーバーを外部に公開する場合や、NetMeetingや一部のゲームなど特殊な通信をするアプリケーションを使う場合、ルータに外部からアクセスできるような「ポートフォワード」などと呼ばれる設定を行なう。こうすると内部のサーバーが攻撃にさらされる危険性があるのだが、適切にポートフォワード設定を行ない、さらに特定のアドレスから攻撃が頻繁に発生するようなら「パケットフィルタ」と呼ばれる設定を行なって、特定のアクセスを無視するなどで対処することも可能だ。
ポートフォワードやパケットフィルタの設定機能は、多くのルータで一般的な設定で、もちろんGateLockにも備わっている。最低限の対策は普通のルータでも可能なわけだが、GateLockには「IDS」と呼ばれる一歩進んだセキュリティ機能が提供される。
「IDS」は、いちいち設定をしないでも、特定のアタックを検知し、ブロックしてくれるという機能だ。たとえばWebサーバーへのアタックは、通常のWebアクセスと同じ手段を用いて行なわれるのだが、IDSではアタックパターンのデータベースを持ち、アタックだけを検知してブロックする。サーバーを公開していても、普通の利用者のアクセスとアタッカーのアクセスを区別するのだ。
ちなみにこのアタック対策のパターンデータベースも、ウイルス対策のデータベース同様、自動更新させることが可能だ。アタックも日々新しいものが開発されているので、こうした機能は非常に頼もしい。
また、GateLockではポートフォワードの設定も、NetMeetingなどのメジャーなアプリケーションについてはテンプレート的なものが用意され、簡単に設定できるようになっている。このテンプレートも、ウイルス対策データベース同様、新しいものがどんどん追加されるという。
■アタックをメールで通知してくれるけど……
GateLockでは、アタックが検知された際、それをブロックするとともに、メールで通知も行なってくれる。サーバーがアタックされたらすぐにわかるので、ネットワーク管理者はすぐに対策をとれるわけだ。
|
試用期間中に来たメール。数通の「アップデートしました」「ウイルス駆除しました」などのメール以外は、すべてアタック検知の通知。勘弁して |
ところがGateLockは、すべてのアタックに対してメール通知を行なうようになっている。これが非常に困りもので、試用期間中、GateLockが送信したアタック通知メールは実に230通近くにもなった。
GateLockでは、同じアドレスからの連続アタックを1カラムとしてカウントし、1カラムごとに1通のメールを送ってくる。この仕様も困りモノで、たとえばほぼ同時に2つのアドレスからNimdaの攻撃を受けた場合、メールが大量に発生してしまう。
というのも、Nimdaは1回のアタックに際して十数回のアクセスを試みる。たとえばAというアドレスからのアタックの最中、Bというアドレスからアタックがあるとする。「AAAABBBB」という順番でアタックがあればアタックは2カラム、と認識するのだが、同時攻撃で「ABABABAB」という順番でアタックされると、本当は2カラムのはずなのに、8カラムのアタックとカウントされるのだ。
Nimdaのせいなのか、Nimdaが感染しているパソコンのユーザーの行動パターンが一致しているせいなのか、正時などに同時攻撃が始まることがしばしばあった。メールが増加した理由もそれなので、ここはバージョンアップで対処してほしいところだ。
もう1つ。これは重要な点なのだが、実は現在のバージョンではNimdaのアタックを検出はできてもブロックできない。もっとも、これも近いうちにGateLockのアップデートで対応できるだろう。それよりも、たとえGateLockを使っていても、Nimdaに対策を施していないバージョンのIISを使うのを避けたいところだ。
|
GateLockが検知したアタックのログ。1回だけCodeRedによるアタックも発見 |
また、試用期間中100回近いNimdaのアタックを受けている。アタック通知メールは、現在自分のアドレスがどんなアタックを受けているか即座に知ることができるので非常に便利なもののはずだが、100通のNimda検知メールに埋もれてNimda以外の危険な攻撃を認識できないのだ。
対策がとれないわけではない。Nimdaには行動パターンがあって、同じプロバイダで接続してる人など、近いアドレスの人間にアタックを行なう。そこで、近いアドレスからのアタックをパケットフィルタで無視すれば、Nimdaのアタックはなくなる。ただし、こうした対策を施すと、近いアドレスの人間が内部のサーバーにアクセスできなくなるという問題もある(もちろんサーバーを公開していなければ関係ないが)。誰からアクセスがあってもOKという公開サーバーを作りたい場合、こういったパケットフィルタは使いたくないだろう。
どのアタックに対して通知メールを出すか、といったことは現在のGateLockにはできない。しかし、トレンドマイクロでは「ソフトウェアのアップデートに関しては、市場の状況を踏まえ、機能の追加や改良を考慮したい」としている。ユーザーのニーズが高まれば「アタックの種類ごとにメールしたりしなかったりする機能」が追加される可能性もあるわけだ。
変化の激しいインターネットの世界では、ウイルスやアタックも日進月歩で進化している。今後のバージョンアップにより、それらに即座に対応できるとともに、さらに使い勝手がよくなることを期待したい。
なお、トレンドマイクロでは同製品のバージョンアップなどについて、期間を決めて有料で行なうことを検討している。購入後1年などの期間は無料でアップデータを入手できるが、それ以降のアップデータの提供は有料サービスになるということだ。価格などの詳細は未定だが、ISPなどと連携したサービス提供も検討しているという。
■セキュリティ対策は万全に!
GateLockは非常にセキュリティ重視の設計となっている。日々更新されるウイルスパターンファイルは、やはりウイルス対策ソフトを開発しているトレンドマイクロ製ということで対応の早さなどにも安心感がある。また、アタック検知機能も、ほかのルータにはない頼もしい機能だ。
ウイルスがはやり、アタックも横行する昨今、何の対策もとらずにインターネットに接続するのは非常に無謀な行為だ。そういった意味でも、GateLockのようなセキュリティ機能を重視したルータは重要な存在だといえる。
ただ、インターネット上の危険性を避けるためには、やはりパソコン上にもウイルス対策ソフトをインストールしてウイルスチェックをまめに行なうとともに、使用するソフトウェアやOSのバージョンを常に最新のものにして、パソコン自体のウイルスへの対策を万全にしておこう。
□トレンドマイクロ
http://www.trendmicro.co.jp/homeuser/index.htm
□関連記事「トレンドマイクロ、家庭用ファイアウォール『GateLock』」
http://bb.watch.impress.co.jp/news/2001/10/29/gatelock.htm
(白根 雅彦)
2001/11/15 10:44
|