- - PR -
サーバー側のウィルスとその対策
投稿者 | 投稿内容 |
---|---|
|
投稿日時: 2003-04-15 14:50
こんにちわ。
表題の件について、教えていただきたいのですが、 インターネット上にて、ブラウザ経由でサーバーにデータの アップロードした際にサーバーにあるほかのファイルへの 感染の可能性というのはあるのでしょうか? また、あるとすればどのうな対策を 講じておくべきなのでしょうか? サーバー側の環境は、Solaris8 DBは、Oracle8i メインのクライアントは、Windows系(9x、Win2k/XP)がメインです。 以上、よろしくお願いいたします。 |
|
投稿日時: 2003-04-15 15:54
ども、BASEと申します。
Oracleでどのようにアップロードしたファイルを管理するかわからないので、 通常のファイル転送のイメージで書きます。 >インターネット上にて、ブラウザ経由でサーバーにデータの >アップロードした際にサーバーにあるほかのファイルへの >感染の可能性というのはあるのでしょうか? 現状で、ファイルをコピーするだけで、コピー先が感染する事は無いと思われます。 感染ファイルを実行し、ウイルスのプログラムが起動しない限り、 他のファイルへの感染もおきません。 #新しい感染方法が開発される可能性もありますので、 #あくまで現状とさせていただきます。 感染ではありませんが、最近のネットワーク共有を介して感染するウイルスのように、 Webアップロードの情報を拾い集め、自らのコピーをアップロードするというパターンは 無いとは言い切れないと思います。 #この場合もファイルを実行しなければ感染しません。 アップロード時のウイルスの有無をチェックするためには、 HTTPトラフィックを監視するアンチウイルス製品で十分ではないでしょうか? それかアンチウイルスのサーバー製品でファイル作成時をリアルタイム監視させる。 余談になりますが、 ナレッジ系のツールで、文書(Word、Exel、PowerPoint等々)をアップロードすると Htmlに自動変換してくれて、ブラウザで情報共有するというような物があります。 その場合、サーバで勝手にファイル読み込んでしまうので、ファイルの実行と同じ事が 起こってしまうのかなぁと考えてしまいます。 そうすると、サーバ自体が感染してしまい、ウイルスの感染活動も始まってしまうの かな?と・・・ 後、Html化された後、ウイルスコードがスクリプトとして残るのあれば IEのMS01-020の脆弱性が残っているクライアントが閲覧すれば、感染の可能性も ありうるかと・・・ 余談が長くなりましたが(汗 1.感染ファイルをコピーするだけでは(現状では)感染しない。 #Windowsの脆弱性によっては、プレビューや閲覧により感染する場合もありえる。 2.トラフィック中にウイルスコードが無いかを確認するためにはGatewayタイプの アンチウイルス製品 サーバ全体を監視するためには、Serverタイプのアンチウイルスソフト という感じでしょうか? |
|
投稿日時: 2003-04-15 17:10
BASEさん
丁寧なレスありがとうございます。 > 2.トラフィック中にウイルスコードが無いかを確認するためにはGatewayタイプの > アンチウイルス製品 > サーバ全体を監視するためには、Serverタイプのアンチウイルスソフト このあたりの、Solaris8で稼動する お勧めの製品などありませんでしょうか? |
|
投稿日時: 2003-04-16 10:52
ざっとしか探していませんが、
InterScanVirusWallがSolaris8に対応しているようです。 #というか、他に見つからなかった・・・ 私の回答で言えば、HTTPトラフィックを監視するタイプですね。 ただ、Solarisでの実績はわからないので、 導入前に監視したい通信の監視についてベンダとしっかり議論をしたほうが良いかと思います。 InterScanVirusWallについてアップロードのケースについては 実際に監視を行っている例は経験が無いので。 #口頭で問題無いですよとは聞いたことはありますが・・・ |
|
投稿日時: 2003-04-16 16:32
BASEさん
わざわざ探していただき、恐縮です。 いただいたアドバイス、 社内の担当のものにも伝えて対応したいと思います。 とても助かりました。ありがとうございました。 |
|
投稿日時: 2003-04-17 10:18
Security&Trustのフォーラムスポンサーであるアラジンさん
からも同様の製品が出ていますね。 http://www.aladdin.co.jp/esafe/gateway.html 機能的にはかなり良さそうなのですが、Win32/Linux版のみ ですね。Gateway製品なので別箱を用意して使えるので考慮 する余地はあるかも知れません。 |
|
投稿日時: 2003-04-17 10:36
ども、書き忘れてしまいましたが、
Soralisがファイルのアップロード先のServerの場合は、 どんちゃんさんが言うように別箱に分けることをお勧めします。 その場合は選択肢がぐっと広がりますし、 トラフィックによっては同価格で、 FireWall、IDS、ウイルスのオールインワン系のアプライアンスも 視野に入れられるかと思います。 でわ |
|
投稿日時: 2003-04-17 11:56
BASEさん、どうもです。
>ども、書き忘れてしまいましたが、 >Soralisがファイルのアップロード先のServerの場合は、 >どんちゃんさんが言うように別箱に分けることをお勧めします。 元記事では外からのアップロード(内向き)の防御のようです ので、アップロード先はDMZゾーンもしくは内側だと考えられ ますので、別箱は必須のような気がします。 GW製品をFWと上下に配置し、外向きと内向きでフィルタする と社内で感染したデータが共有ディスクなどに置かれることも 防げます。AntiVirus/SMTP/HTTP/FTPをフィルタする製品はいまや 必須になってきてると思いますね。 >その場合は選択肢がぐっと広がりますし、 >トラフィックによっては同価格で、 >FireWall、IDS、ウイルスのオールインワン系のアプライアンスも >視野に入れられるかと思います。 IDS(IPS)/SMTP,FTP,HTTPフィルタ/AntiVirus/IPSec/BBルータと 複数機能を持つアプライアンスサーバがありますので、かなり 悩めますね。 |