一ヶ谷兼乃の

あなたのパソコンは世界中から狙われている

インターネットアタックからPCを守る「BlackICE Defender」


■インターネットは常時接続に限る!

 筆者が最初にインターネットへ接続し始めたころは、ダイヤルアップ接続を使っていた。その後、個人でも購入できる最初のダイヤルアップルータ富士通「ネットビークル I」を購入し、パソコン側ではダイヤルアップを意識しない環境になった。そしてINSテレホーダイが始まると、すぐにサービスに加入して、主に深夜の時間帯にインターネットを楽しんだ。

 それからしばらくすると、OCNアクセスラインを使ったインターネットの常時接続サービス「DIONスタンダード」に加入。さらに、筆者が住んでいるエリアでのADSL接続サービスの開始に伴い「NTT-ME ADSL WAKWAK接続サービス」へ移行した。

 このようにいろいろな環境でインターネットを体験してきたが、一番大きく変化したのは常時接続に移行したときだった。電話代やプロバイダの利用料をまったく気にすることなく(もちろん定額の料金は支払っているのだが)、インターネットを使いたいときに、使いたいだけ使うことができるようになってからは、インターネット無くしては仕事が成り立たないようになった。それだけではなく、遊びや生活に関しても、インターネットに頼っている部分が増加しており、最近はインターネットの無い環境は非常に苦痛に感じるのである。つまり、筆者にとって、インターネットは電気、水道、ガスといった生活インフラの1つになったといえるだろう。

 ただ、インターネットが他のインフラと違うのは、地球規模でオープンであり、明示的な管理者が存在しないところである。また、自宅のパソコンが世界中のサイトへアクセスできるということは、世界中から自分のパソコンにアクセスできるということでもある。特に多くのユーザーが行なっている、モデムやTAを使ったダイヤルアップ接続で、プロバイダからグローバルIPアドレスが割り振られている場合には、まさしく世界中から自宅のパソコンに直接アクセス可能な状態になっているのだ。

 もちろん、ダイヤルアップルータを利用している環境や、プロバイダからプライベートIPアドレスを割り当てられている環境であれば、インターネットを介してのアクセスは多少難しくはなる。しかし、プロバイダの環境やダイヤルアップルータの設定によっては、他人が自分のパソコンへのアクセスすることは充分に可能なのである。


■攻撃は無差別に行なわれている

 インターネットを使っていて、自分のパソコンが狙われていると意識している人たちは、どの程度いるだろう。ほとんどの人は、有名なサイトや企業のサイトだけが、狙われていると思っているのではないだろうか? しかし、インターネット上で不正アクセスを行なうような人たちは、不正アクセスに利用できるようにサイトを無差別に探している。

 ネットワークに関してある程度の知識があり、セキュリティに関して興味がある人であれば、ダイヤルアップルータを使って、ポートの制御で自分のパソコンをインターネットからの攻撃に備えているだろう。しかし、多くの人が利用しているモデムやTAを使ったダイヤルアップ接続では、まったくの無防備といってもよい。環境によっては自分のパソコンの中のファイルを改竄されたり、ウィルスを仕込まれる可能性もある。

 筆者の現在の環境ではパソコンはローカルルータを経由して、ADSLモデムを使ってインターネット接続を行なっている。通常は、このローカルルータでポートを使ったアクセス制御を行ない、ポート番号を変更したアプリケーションを利用したサーバー間でインターネットを介したデータのやり取りしているが、メールサーバーやホームページのサーバーは公開していない。

 また、IPマスカレードを利用したアドレス変換を行なっているために、インターネットから筆者の環境にアクセスすることは容易なことではない。ただ、たまにネットワークゲームやネットミーティングなどのポート番号が固定できないアプリケーションを動作させるするときには、ローカルルータの設定で自分の使っているパソコンを論理的にDMZホスト(DeMilitarized Zone~非武装地帯)にしている。その時には、インターネット側からのアクセスが可能になってしまう。

 DMZホストに設定するのは、限られた時間ではあるが、やはり気になるところである。そこで、どの程度アタックがあるのか知るためと、自分のパソコンを防御するために、アプリケーションをインストールして見ようと思い立った。


■BlackICE Defenderを導入

 そこで今回インストールしたのは、東陽テクニカのホームページでダウンロード販売されている「BlackICE Defender(1ライセンス6,500円[有効期間1年間])」。このアプリケーションは、この種の検出ツールの中では初心者にも使いやすく、パケットをまたぐようなアタックでも検出できるエンジンを持っており、筆者お勧めのアプリケーションの1つである。

 最近、よくみられるパーソナルファイヤーウォールといったものと違い、明らかに外部からの攻撃であるという通信だけを検出してくれるので、利用しているアプリケーションを制限されることはほとんど無い。他のツールでは、セキュリティを確保するツールをインストールしたとたんに、メッセージ系やストーリーム系のアプリケーションが利用できなくなったりするが、BlackICE Defenderでは そのような制限を受けることがあまりない。また、常駐アプリではあるが、パソコンの動作が遅くなったり、他のアプリケーションとの相性トラブルなどは、今のところ筆者の環境では発生していない。

 さらに、このBlackICE Defenderはアプリケーション自体もさることながら、PDF形式のマニュアルが非常に優れている。資料性も高く、インターネットセキュリティに興味ある人であれば一度読んでもらいたい内容となってる。特に最後には様々なアタックの簡単な解説がなされているが、実際にアタックを受けた場合には、BlackICE Defenderのログから東陽テクニカのページにリンクされており、より詳しい情報を得ることができるようにもなっている。

筆者宅の環境でのログ。どのサイトから、どのようなアタックがあったのかを記録している。「TCP OS fingerprint」の行をマークし、「advICE」をクリックすると東陽テクニカへの該当ページにリンクされ、より詳しい情報を得ることができる。 セキュリティレベルの設定も、この画面で選択するだけ。Windowsネットワーク上でのファイルの共有を行なう通信も、標準設定で遮断される。

 BlackICE Defenderの動作は、Windowsから認識されるネットワークアダプタで受信する通信の内容を監視して、アタックのパターンを記録した辞書と比較し、危険であると感じた通信は遮断するという流れになっている。これは、ウィルス対策ソフトのファイルを読み込んだり、メールを受信するときに、ファイルを監視し、ウィルスのパターンに合致するファイルの場合には、拒絶するというと似た動きである。なお、アタックのパターンと合致しない場合でも、BlackICE Defenderで設定された通信を遮断することも行なう。

 今までのツールでは、流れてくる通信をチェックする際にパケット毎にチェックしているものが多いため、故意にパケットをまたがるようにアタックをしてくる場合には、検出できないことが多かった。しかし、BlackICE Defenderの検出エンジンでは、パケットを組み立てて処理を行なっているため、パケットをまたがるようなアタックもしっかり検出してくれる。


■予想を上回るアタック数があるという現実

 インストールしてみると、想像以上にアタックされているわかる。筆者宅の環境では、世界中の色々なコンピュータからのアタックされているというのではなく、限られたサイトからのアタックが頻繁にあるという傾向にある。頻度が高いときには数分間隔、少ないときでも1時間に1回程度のペースでアタックを受けている。単純に集計してみると、一日400~500回を超える。

 あまりにも頻繁にアタックをかけてくるサイトがあれば、BlackICE Defenderで設定することにより、そこからの通信は完全に遮断することができる。逆に、信頼できるサイトであれば、登録することで、検出を行なわなくすることも可能だ。また、BlackICE Defenderの動作を理解し、適切な設定を行なうことができるようになれば、企業などで同一LAN上のパソコンからの不正アクセスも防止することができる。

11/27 0:00から11/28 7:30にかけて、筆者宅にアタックをしてきたと記録されたサイトの一覧。サイトが表示されている部分を右クリックして設定することで、これらのサイトからの通信を全て遮断することも可能

 今のところ、アタックを受けているのはクライアントとして使っているパソコンでなので、それほど気にはならない。しかし、もしもこれがインターネットに公開しているサーバーであったなら、各アプリケーションでのバグや設定のあまさから発生するアプリケーションのセキュリティホールを見つけられ、スパムメールの中継地点にされてしまうのもしかたない。そう思わせるほどに頻繁にアタックは行なわれている。いくら高価なファイヤーウォールを設置していても、アプリケーションにセキュリティホールがあれば、そこが狙われてしまってはセキュリティはないも同然である。

 重要な情報を持っている企業のコンピュータや、有名サイトはターゲットとなる可能性が高いのかもしれないが、侵入者はインターネット上に利用できるサイトを無作為に探しているのが現実である。あまり、過敏にならなくても良いとは思うが、専用線やケーブルTV、ADSLを使った常時接続、フレッツISDNでの長時間のインターネット接続はもちろんのこと、短い時間でのダイヤルアップ接続であったとしても、インターネット側からのアタックがあるということを認識しなくてはならないだろう。

 そして、できれば、何かしらの対策を行なうべきだと筆者は思う。特に、モデムやTAを使ったダイヤルアップ接続は、パソコンが無防備な状態になっていることが多いために、インターネットから自分のパソコンをBlackICE Defenderのようなアプリケーションを使って、防御することをお勧めしたい。

 東陽テクニカのページには、BlackICE Defenderの体験版が公開されているので、自分のパソコンがどのような状態に置かれてしまうのかを知るためにも、一度試してみることをお勧めする。

□東陽テクニカのホームページ
http://www.toyo.co.jp/
□製品情報
http://www.toyo.co.jp/security/ids/product/bi_dfndr.html
□体験版のダウンロードページ
http://www.toyo.co.jp/security/ids/support/dl_bid.html#trial

[Text by 一ヶ谷兼乃]

I
バックナンバー
バックナンバーインデックス

【2001/1/30】
第21回:「ドリキャス用ブロードバンドアダプタとCR2000」
パソコンでなくてもブロードバンドは楽しめる!!

【2000/12/26】
第20回:「CAS2040」
高コストパフォーマンスIPルータ

【2000/11/28】
第19回:「BlackICE Defender」
インターネットアタックからPCを守る

【2000/10/31】
第18回:「Shuriken Pro」
隠れた銘品メーラー

【2000/9/27】
第17回:シグマリオン
ハイコストパフォーマンスなWindows CE機

【2000/8/22】
第16回:MFC-8300J
地味だけど隠れた(?)名機 FAX複合機は満足度高し

【2000/7/26】
第15回:DynaBook SS DS60P
“コレだ!”というノートPCを探して

【2000/6/27】
第14回:ICOM WaveMaster編
無線LANの互換性を検証する

【2000/5/24】
第13回:AirStation
「AirStation」で11Mbpsの高速・快適な無線LAN三昧

【2000/4/28】
第12回:ADSL
【ADSL活用編】OCN常時接続からADSLへの完全移行を目指す

【2000/3/28】
第11回:ADSL
【ADSL導入記】開通まで待たされても、つながれば快適!

【2000/2/22】
第10回:MP3プレーヤー「NOMAD II Sports」
NOMAD II SportsはMP3のベストバイだが、ポータブルCDも捨てがたい

【2000/1/25】
第 9回:Windows CEマシン「Jornada 690」
'99年の最も満足度の高い買い物「Jornada 690」

【'99/12/27】
第 8回:ダイヤルアップルータ「MN128-SOHO Slotin」
お勧めのルータ「MN128-SOHO Slotin」 後編(無線LAN編)

【'99/12/1】
第 7回:ダイヤルアップルータ「MN128-SOHO Slotin」
お勧めのルータ「MN128-SOHO Slotin」 前編

【'99/10/26】
第 6回:Macintosh「iMac DV Special Edition」
見れば見るほどカッコイイ「iMac DV Special Edition」

【'99/9/29】
第 5回:CPUクーラ「アルファ P3125SM60」
純正のCPUクーラじゃ満足できない アルファ P3125SM60

【'99/8/24】
第 4回:RASサーバー/IPルータ「NetGenesis Dual」
「NetGenesis Dual」でアナログ回線用RAS環境を構築

【'99/7/27】
第 3回:マザーボード「ASUS P3B-F」
久々に出た使い込みたくなるマザーボード「P3B-F」

【'99/6/22】
第 2回:無線LAN「AIRCONNECT」
無線LANでもっと“ごろごろ”インターネット

【'99/5/25】
第 1回:iMac用SCSIカード「iProRaid」
ボンダイブルーiMacユーザーの嘆きを解消!?


【PC Watchホームページ】


ウォッチ編集部内PC Watch担当 pc-watch-info@impress.co.jp

Copyright (c) 2000 impress corporation All rights reserved.