VirusBaster2001


					Copyright © 2000-2005 eazyfox. All Rights Reserved.


HOME\| Firewall \| Security\| 製品紹介\| SecuTool\| Forest\| Hello\| Link\| 掲示板\| 雑談掲示板\| SiteMap\| Contact

Trend Micro
VirusBuster2001

トレンドマイクロ社のVirusBusterが2001になってPersonal Firewall機能が付いた。以前ならセキュリティといえばVirusの感染を防ぐことであり、Virusチェッカーを常に最新にしておけばその感染はほぼ防ぐことができるようになった。しかしインターネットの常時接続が普通になりつつある現在、PCの脅威はVirusから不正アタックに移りつつある。このことはSymantecがＡｎｔｉＶｉｒｕｓと一体になったPersonal Firewallを出したことからもわかる。トレンドマイクロとしてもこの流れに沿った製品を出してきたのだ。前置きが長くなったが早速インストールして試してみよう。
Virusチェッカーとしての機能はほぼ完成されたものだと思うので、今回はPersonal Firewallについてだけ紹介することとする。

起動して設定画面を選択すると「EASY」と「ADVANCE」を選ぶようになっている。まずは「EASY」の簡易画面から。簡易設定の画面では各機能を実行するか？のチェックを入れるだけとなっている。
Personal Firewallの機能としては下の3つ。「WebTrap」「URLフィルタ」「パーソナルファイヤウォール」の機能が関係する。
WebTrapは危険なコンテンツ(JAVAアプレットやActiveX)を規制する機能。URLフィルタはURLでアクセス制限を加える機能。パーソナルファイヤウォールはプロトコルでパケットの入出力を規制する機能だ。

では各機能の設定を見てみよう。

デフォルトではユーザ指定の規制プロトコルは何も定義されていない。このままでは全部つーつぅ～になってしまうので、普通はNBTのポートくらいは追加しないといけないんじゃないかな？ということで追加ボタンをクリックしてフィルタの追加を行う。

フィルタの追加ボタンのクリックでこんな画面が出る。

項目の上から順に、出るパケットを規制するのか？入るパケットを規制するのか？その両方か？の指定。次にプロトコル「TCP」と「UDP」から選ぶ。そしてポート番号の指定。次の詳細なIPアドレスの設定は全部の相手アドレスに対して指定するならALL255を指定する。特定の相手にだけ規制するならその相手のIPを指定する。
ここでは137番ポートのTCPパケットが出るのも入るのも規制するという設定だ。

これだけを見てわかることは、指定したパケットだけを通過拒否する。つまり他のFirewallにあるような「基本はすべて通さない」ということではなく「基本はすべて通す。やばいものは指定して通さない」という種類ということだ。このポリシィが妥当かは議論の余地があるだろうが、筆者の個人的意見としては「やばいとどうやって見切るんだ？初心者にそれができるか？」と疑問がわいてくる。ちなみにNBTの137～139すら設定されていないデフォルトで、インターネットから不正アクセスを受けているのを気づいたとき、すぐに相手のIPやポート番号を調べて規制するといったことが普通のユーザで可能だと考えているのか？。

まぁ批判はこれくらいにして、プロトコルを追加すると一覧にこんなふうに追加される。

ではデータベースの中身は？というと

上からICMP(Pingなど)、BackOrificeやBackDoor、DeepThroatなどのポートが規制されているのがわかる。これはUpdateでどんどん増やしていってもらいたい。はっきりいってこれだけじゃぜんぜん足りない。

ではVirusBusterの本来?の機能であるコンテンツフィルタのWebTrapの機能の設定

項目を上から、WebTrap機能を有効とするか?、不正なActiveXやJavaアプレット発見時の動作をブロックするのか、メッセージを表示するのか?の選択、ブラウザ(IEやNetscape)起動時にWebTrap起動画面を表示するのか?
最近では不正アクセスよりも、こういった不正なプログラムをダウンロードさせるケースが多いのでこの機能は必須だ。

次にURLチェックによるアクセス制限機能の設定

アクセスしたくない、させたくないサイトを登録する。例えば暴力やSEXに関するサイトを登録しておくと子供に見せたくないサイトなどを規制できる。規制サイトを登録したときには一番下の変更時のパスワード要求にチェックを入れておく。

では、動作させてみた結果のログを紹介しよう

ログ表示でパーソナルファイヤウォールの欄に最新の侵入日付が表示されている。どんな内容なのかログ表示のボタンを押して確認してみると・・・

ここでは送信元ポートの1243と1120が引っかかっている。つまり内部に木馬がいて、外部の63.236.72.243と202.232.63.200の80ポートに接続しようとしたのを防いだのだ。

しかし、この防御は正確にはJavaスクリプトでオープンされるバーナー広告を表示しようとしている動作を止めている。HTTPではサイトのデータを表示するときに文字や写真ごとにセッションを開設するので、1024に近いポートならたくさん窓を開いているようなときには使用される可能性が多い。したがって一概に1120と1243が木馬が使用しているとは限らないのだが、まぁしかたないかな。

最後にステータス表示。左がFirewallが有効のとき、右が無効のとき

VirusチェッカはWindowsがファイルへアクセスする動作をフックして自らが持つフィルタを通してからアプリケーションに渡す。OSから見ればDiskもシリアルも同じ入出力なので、その内容をチェックするという動作はFirewallでもVirusチェッカでも同じである。したがってVirusチェッカの技術でFirewallを作ることは容易いのだろう。しかしVirusBuster2001はPersonal Firewallとしてみればお粗末な仕様だ。ぜひ2001V2あたりを早急にリリースして、TrendMicroの技術力を見せ付けていただきたいと願っている。

・Firewall製品別紹介に戻る