あなたのパソコン、『ウイルス対策』してありますか?に戻る
TREND MICRO “GateLock X200” 導入記
先日導入したセキュリティ機器 TREND MICRO 社の GateLock X200 について、色々と書いてみたいと思います。
・導入に至る経緯
・導入作業
・検出しない!?
教訓
・ウイルス検出&削除
・ハッカー検出
・実際に導入してみての感想
・事後ではなく事前が大切
「あなたのパソコン、『ウイルス対策』してありますか?」を見て頂ければお分かりの通り、今年は Hybris、Sircam と Badtrans.B のウイルス添付メール、Code Red と Nimda の侵入行為といった「悪意ある者が放ったコード(プログラム)」の脅威に晒された一年でした。
「怪しい添付ファイルは開かない」という初歩的な知識で Hybris と Sircam は防ぎ、使用
OS が Win98SE である為に Code Red と Nimda の侵入行為は無意味でしたが、Outlook
Express のセキュリティ・ホールを突き、プレビューだけで感染する作りになっていた
Badtrans.B は感染の可能性がありました。ですが、日経BP社の "IT Pro" と CNET Japan の情報メールによって情報収集をしていた為、Outlook Express を事前にプレビューしない設定に変更し、発見日(2001/11/24)の翌日には Norton AntiVirus のウイルス定義ファイルを更新していたので、11/26 に Badtrans.B が届いても何ら被害はありませんでした。
これと前後して、私のインターネット接続環境が大きく変わりました。11/20 に、今までの内蔵モデムによるアナログ
56K(実質 37K)接続から、フレッツ・ADSL になったのです。常時接続(定額の長時間接続)になると、今まで以上に脅威に晒される確率が高くなります。テレホーダイのダイヤルアップ接続で数時間接続しただけでも Code Red と Nimda は来ていたのです。IP アドレスがほぼ固定される長時間接続は、ウイルスによる侵入行為だけでなく、悪意ある者からの侵入の標的にもなりやすくなります。
こうした危険を軽減する策として、ウイルス対策ソフトより一歩先を行くセキュリティ対策ソフトの導入を考えました。が、これは接続するパソコンそれぞれに導入する必要があります。また、導入製品の選考時点では、複数台のパソコンをネット接続する為のルータを所有していなかったので、ルータによるセキュリティ対策も視野に入れていました。
そんな時に目に留まったのが 2001/10/29 に報道発表がなされた TREND MICRO 社の GateLock X200 です。12/5 19:00 から先行販売キャンペーンが行われるとの事で、即座に「GateLock」情報メールに登録して情報収集を開始しました。
それと平行して各社のルータの仕様の検討をしていったのですが、どれも一長一短という感じでした。そこで、値段やスループットではなく、当初の目的である「セキュリティ対策」に的を絞り、GateLock
の先行販売キャンペーンに申し込む事にしました。
申し込み当日は開始直後にアクセスが殺到し、約一時間は先に進めないといった状態でしたが、無事に申し込みが出来て、後日、正式受理の連絡メールが届きました。
先行販売予定日は 12/20 で、発送のタイムラグによって届いたのは翌日の 12/21
でした。でも、年賀状印刷などで忙しく、実際に導入したのは 12/24 の夜になりました。
パッケージの中には、GateLock 本体の他に操作マニュアル、クイックインストールガイド、電源アダプタ、ネットワークケーブル、保証書、サポート案内が入っています。
本体はインジケータ・ランプと商品名などが書いてある文字を除けばツヤ消し黒一色と渋いです。が、パッケージの箱、操作マニュアル、クイックインストールガイドは派手な赤です。ウイルスバスター 2002 のパッケージを見て頂ければイメージ出来ると思います。あと、トドメにネットワークケーブルも赤です。(トップページを見ると、どうやら赤は TREND MICRO 社のイメージカラーのようですね)
パッケージにネットワークケーブルが入っているので、ケーブルの買い足しをしなくてもすぐに接続出来ます。接続する位置は
ADSL モデムとパソコン(または HUB)の間です。
|
|
―― |
|
―― |
|
―― |
|
== |
|
|
MC |
|
SC |
|
CC |
|
SC |
|
MC:モジュラーケーブル SC:ストレートケーブル CC:クロスケーブル |
以前の接続形態(パソコン二台をクロスケーブルで直結)の名残でクロスケーブルが入っています。GateLock
とスイッチング HUB の通常ポートを接続するのにクロスケーブルを使っていますので、GateLock
の背面のスイッチを PC にしています。こういう変則的な使い方をすると混乱の原因になるので、ストレートケーブルを使って操作マニュアルの内容と設定が一致するようにした方が無難です。
GateLock などを置く場所などによるケーブルの取り回しに時間が掛からなければ、物理的な接続は数分で完了します。
|
上の図を見ればお分かりのように、複数台のパソコンを接続するには HUB(またはルータ)が必要です。GateLock
はルータ機能を持っていますが、製品の位置付けが「家庭向けブロードバンド・セキュリティボックス」の為か、LAN
側のコネクタは一つだけなのです。最近は HUB も安価になって来ていますので問題は無いでしょう。
|
次は GateLock の初期設定ですが、パソコンの LAN 環境によっては物理接続前にやる事があります。(GateLock
の DHCP 機能による IP 取得の準備など)
私は先に物理接続をして、GateLock の電源を入れないでパソコンのネットワーク環境を変え、再起動を掛けるのに併せて
GateLock の電源を入れるという端折りをしました。ネットワークの設定をしてからパソコンの電源を切り、物理接続をしてから再びパソコンの電源を入れるのは手間ですからね。この程度の端折りなら
GateLock とパソコン共に動作不良は起きません。
パソコンが立ち上がったら、ブラウザを起動して GateLock にアクセスします。設定コンソール画面が表示されれば
GateLock との接続は完了です。
設定は「クイックセットアップ」という物が用意されています。まず、IP アドレスの取得方法を指定します。此処で三つの選択肢「PPPoE
xDSL」「静的 IP アドレス」「動的 IP アドレス」があり、どれを選ぶかで以降の設定内容が変わってきます。私はフレッツ・ADSL
を使うので「PPPoE xDSL」を選んで次に進みました。
次の画面では「ユーザ名」「パスワード」を入力します。この他に「再接続指定」「最大アイドル時間」というのも設定出来るようになっていますが、この二つは標準のままにしました。
続いてプロバイダ要件の指定です。「MAC アドレス」と「ホスト名」の指定が出来ますが、此処はプロバイダによっては設定が不要です。私が契約している「Web
しずおか」では指定が無いので、共に未入力のまま次に進みました。
最後の設定はメール通知の指定です。GateLock の機能の一つである不正侵入検知時にメールで知らせるかを指定します。この他に
GateLock のソフトウェアのアップデート情報もメールで知る事が出来ます。此処は好みでしょうが、私はメール通知をするように指定して次に進みました。
次の画面で、今まで指定してきた内容が表示され、内容の確認が出来ます。間違っていないなら次に進みます。
これで初期設定は完了です。NTT 提供のフレッツ接続ツールを使っていた時は、この他に
DNS の設定もしないといけなかったのですが、これらは自動取得してくれました。
これで GateLock の導入が完了しました。では、さっそく 12/24 01:11 と 12/24
17:59 に送られて来た Badtrans.B を料理する事にしましょう。
Outlook Express で受信したところ、 Badtrans.B が添付されたままで受信されてしまいました。これは
GateLock の出荷時に本体内に入っているウイルスパターン・ファイルのバージョンが
161 で、Badtrans.B に対応した 170 ファイルより古かった為です。
導入時にオンライン登録をしたので、ソフトウェアのアップデートをすぐに行ったのですが、サーバが混雑していたらしくアップデート出来ませんでした。まあ、明日にでも再度試せば良いやと思って居たのですが、アップデート失敗から約二十分後くらいに自動的にアップデートが完了していました。GateLock 起動後に(初期値は三十分後。その後は二十四時間毎に)自動アップデートするようになっているのですが、その時にパターン 189 のファイルを読み込んで来てくれていました。
教訓:
セキュリティ関係製品は最新の情報に更新した時点で導入が完了した事になる。
インストールしただけでは使い物にならないと知れ。
ちょっと残念な未検出の後、これまた残念な事になかなか Badtrans.B が送られて来ません。待つ事一日。ようやくお待ちかねの
Badtrans.B が届きました。さっそくメールを受信したところ、今度は約 40KB
のウイルス添付ファイルが削除され、オリジナルメールが添付された GateLock
からの報告メールとなりました。それに併せ、GateLock のパネルのインジケータの色が変化しました。通常時は
 |
左から
「POWER」
「ANTI-VIRUS」
「ANTI-HACKER」
「PC/HUB」
「INTERNET」
下にあるのはスイッチング HUB |
上記のように全部緑色のインジケータ(ADSL モデムが 10Mbps なので、INTERNET
ポートはオレンジ色になっている)なのですが、ウイルスを含んだメールを受信すると、ANTI-VIRUS
が赤色に変化します。
 |
このインジケータのランプが結構明るいのです。
下の HUB の 1.5 倍以上はあります。
大きさも大きくて、こちらは約 5 倍ほど。
部屋の明かりを消すと、パソコンデスクの下の方が緑とオレンジに照らされてます。
しかも、不定期で点滅しますから結構派手です。
|
(この写真では INTERNET インジケータのオレンジと区別が付かないですが……)
こうなった時は GateLock にアクセスしてウイルス検出ログを見ます。そうするとインジケータの色が緑に戻ります。
ログはこんな感じです。
ウイルス検出ログ
| 日付/時間 |
ウイルス名 |
処理 |
送信者 |
ファイル名 |
受信者 |
2001/12/26
12:46:26 |
WORM_BADTRANS.B |
ウイルス駆除不能(削除) |
_office-nahata@*** |
NULL |
woodybell@mail.wbs.ne.jp |
2001/12/26
10:45:46 |
WORM_BADTRANS.B |
ウイルス駆除不能(削除) |
_kinoke@*** |
NULL |
woodybell@mail.wbs.ne.jp |
「日付/時間」はメールを受信した日時です。「送信者」にはメールアドレスが書かれていますが、消してあります。
次に、試しに自分宛にウイルスを添付したメールを送ってみました。
まず、メール作成時に Norton AntiVirus Auto-Protect が働いてしまわないように
Auto-Protect を無効にし、保存しておいた Hybris を添付ファイルに指定して送信しました。
GateLock はメールの受信だけでなく送信時もウイルス検出と削除をしてくれます。ウイルスを検出した
GateLock の ANTI-VIRUS インジケータが赤に変わり、ちゃんと動作してくれたようです。
検出ログを見て見ると
ウイルス検出ログ
| 日付/時間 |
ウイルス名 |
処理 |
送信者 |
ファイル名 |
受信者 |
2001/12/26
20:01:21 |
WORM_HYBRIS.M |
ウイルス駆除不能(削除) |
woodybell@mail.wbs.ne.jp |
PEEJEIPE.bin |
kanea-marigold@geocities.co.jp |
Hybris を削除してくれました。
geocities のメールを受信してみると……あらら。GateLock からの報告メールとして届いていました。これでは受信者が驚いてしまいますね。まあ、インジケータが赤に変わっているので、それを戻す為にログを見れば自分が送ってしまったと分かるので、すぐに対応は取れますが。
送信時にウイルスを検出した場合の報告メールは送信者かメール通知で指定してあるメールアドレスに送信して欲しいです。(この辺りの事は
atmarkIT の“プロダクト・レビュー ウイルスを遮断できるブロードバンド・ルータ「GateLock
X200」”の(2)の中ほどにも書かれている)
GateLock のもう一つの機能が不正侵入の検出と防御です。
GateLock の日本デビューが二、三ヶ月も早ければ、Code Red や Nimda による侵入行動を毎日のようにキャッチ出来たのでしょうが、既に沈静化しつつあるのか、導入から五日経っても一度もやってきません。これでは面白くないという事で、自分から侵入を受けに行く事にしました。と言っても、怪しいサイトに行くのではなく、シマンテック社のシマンテックセキュリティチェックから Symantec Security Check に進んだ中にある「セキュリティリスクのスキャン」を実行し、スキャンを侵入行為と
GateLock に思い込ませるのです。
実行すると ANTI-HACKER インジケータが赤に変わり、侵入試行検出のメールが
GateLock から届けられました。スキャン終了後にハッカー検出ログを見ると
ハッカー検出ログ
| 日付/時刻 |
攻撃方法 |
アクセス元 |
回数 |
2001/12/29
21:13:04 |
Port scan attempt |
147.208.171.139 |
1015 |
色々なポートに対してアクセスをしてくれたようで、千回を越えるポート・スキャンを記録していました。悪意ある者からのスキャンなら脅威ですが、その脅威を
GateLock が吸収し、パソコンまで入れさせないようにしてくれた訳です。
その証拠に、GateLock 導入前は Win32 APACHE Web Server を動かしている状態でスキャンしてみると「HTTP
に問題あり」との結果が出ましたが、導入後は「(外部公開する設定にしていない為)HTTP
サーバが無い」と診断されました。更に、このスキャン自体も正常に実行させれば「IP
が見付からない」という結果になり、ポートスキャンすら出来ないのです。(このスキャンには
Internet Explorer5 以上と ActiveX の実行許可が必要なのですが、ActiveX の実行を求めてくるダイアログの二回目で実行を拒否すると
IP が見付かるので、中途半端な状態で無理矢理スキャンさせています)
箱から出してすぐに使えるプラグアンドプレイの宣伝文句に偽りは無いです。操作マニュアルも難解な部分が無く、ネットワーク系の知識が無くとも、操作マニュアルの通りにパソコンのネットワーク環境を設定し、GateLock
を接続し、必要な情報を入力するだけで使えるようになります。セキュリティに関する設定項目は初期状態から最高レベルになっているので変更する必要はありません。思った以上に簡単でした。
それ故、ある程度の知識を持った人には物足りなさを感じたり、制約が多く感じたりするかも知れません。しかし、これだけの手軽さで高レベルなセキュリティ環境を個人で持つ事が出来るのは、最近のインターネットにおけるメール・ウイルスなどによる脅威を考えれば評価は高いです。
ただし、ウイルス・チェックしてくれるのはメールの送受信(WebMail の添付ファイルを含む)だけですので、何処かのサイトからダウンロードしたファイルが感染しているかまでは分かりません。別途、ウイルス対策ソフトは必要といえます。となると、ウイルスバスター
2002 や Norton Internet Security 2002 などを導入した方が、GateLock より安価(先行販売キャンペーン価格で \15,000-(税別)。通常販売価格は
12/29 現在、まだ不明)にセキュリティ環境を実現する事が出来ます。
が、GateLock にはこれらの対策ソフトには無い利点があります。それは、ウイルスなどの脅威がパソコン内に入って来ないという事です。ソフトでセキュリティ環境を実現した場合は、パソコン内にウイルスや侵入試行が入り込んだ時点でそれらを検出して削除や防御をする訳ですが、GateLock
ならパソコンに入って来る前にそれらを足止めしてくれるのです。これは精神衛生的にかなりプラスになります。
一通り動作などの確認をした後の私の評価ですが、10 段階で評価するとしたら
8 です。
ログの保存件数や syslog サーバ未対応、設定がブラウザ使用のみといった「家庭向け」であるが故の制約や物足りなさでマイナス
1、送信メールにウイルスが潜んでいた場合の報告メールの送信先が送信者宛でない件でマイナス
1 です。これらは今後の要望によって改善される可能性が残っていますので期待したいところです。
ウイルス対策(セキュリティ対策)というのは、言わば保険です。感染しないようにする為の事前投資なのです。感染してから慌てて対策ソフトを導入して駆除するのでは遅いのです。
個人の場合なら「御免なさい」で済むかも知れませんが、会社の場合は済まなくなる場合もあります。
――大切なデータが消えてしまった。取引先にウイルス・メールを送り付けてしまった。顧客情報を漏らしてしまった――
――危機管理がなってないという悪い評価を下される。信用問題から取引停止。業務妨害で訴えられる――
別に脅している訳ではありません。こうなる可能性があるというだけです。
12/26 に私に届いた Badtrans.B の一通は、メールアドレスから会社使用の物の可能性が十分に考えられます。このメールアドレスを検索したのですが、残念(?)ながら見付かりませんでした。今後、何かの時にこのメールアドレスを目にし、その会社と取引する事になるとしても、断ってしまうか、警戒する事になるでしょうね。既に悪い評価と信用問題が発生している訳ですから。
こうならない為にも日ごろからウイルス対策には気を配らないといけませんね。
あなたのパソコン、『ウイルス対策』してありますか?に戻る