- PR -

サーバー側のウィルスとその対策

投稿者投稿内容
ken
常連さん
会議室デビュー日: 2002/11/07
投稿数: 22
お住まい・勤務地: **・東京
投稿日時: 2003-04-15 14:50
こんにちわ。
表題の件について、教えていただきたいのですが、

インターネット上にて、ブラウザ経由でサーバーにデータの
アップロードした際にサーバーにあるほかのファイルへの
感染の可能性というのはあるのでしょうか?

また、あるとすればどのうな対策を
講じておくべきなのでしょうか?

サーバー側の環境は、Solaris8
DBは、Oracle8i
メインのクライアントは、Windows系(9x、Win2k/XP)がメインです。

以上、よろしくお願いいたします。
BASE
大ベテラン
会議室デビュー日: 2002/03/13
投稿数: 178
投稿日時: 2003-04-15 15:54
ども、BASEと申します。
Oracleでどのようにアップロードしたファイルを管理するかわからないので、
通常のファイル転送のイメージで書きます。

>インターネット上にて、ブラウザ経由でサーバーにデータの
>アップロードした際にサーバーにあるほかのファイルへの
>感染の可能性というのはあるのでしょうか?
現状で、ファイルをコピーするだけで、コピー先が感染する事は無いと思われます。
感染ファイルを実行し、ウイルスのプログラムが起動しない限り、
他のファイルへの感染もおきません。
#新しい感染方法が開発される可能性もありますので、
#あくまで現状とさせていただきます。

感染ではありませんが、最近のネットワーク共有を介して感染するウイルスのように、
Webアップロードの情報を拾い集め、自らのコピーをアップロードするというパターンは
無いとは言い切れないと思います。
#この場合もファイルを実行しなければ感染しません。

アップロード時のウイルスの有無をチェックするためには、
HTTPトラフィックを監視するアンチウイルス製品で十分ではないでしょうか?
それかアンチウイルスのサーバー製品でファイル作成時をリアルタイム監視させる。

余談になりますが、
ナレッジ系のツールで、文書(Word、Exel、PowerPoint等々)をアップロードすると
Htmlに自動変換してくれて、ブラウザで情報共有するというような物があります。
その場合、サーバで勝手にファイル読み込んでしまうので、ファイルの実行と同じ事が
起こってしまうのかなぁと考えてしまいます。
そうすると、サーバ自体が感染してしまい、ウイルスの感染活動も始まってしまうの
かな?と・・・

後、Html化された後、ウイルスコードがスクリプトとして残るのあれば
IEのMS01-020の脆弱性が残っているクライアントが閲覧すれば、感染の可能性も
ありうるかと・・・

余談が長くなりましたが(汗
1.感染ファイルをコピーするだけでは(現状では)感染しない。
 #Windowsの脆弱性によっては、プレビューや閲覧により感染する場合もありえる。
2.トラフィック中にウイルスコードが無いかを確認するためにはGatewayタイプの
  アンチウイルス製品
  サーバ全体を監視するためには、Serverタイプのアンチウイルスソフト

という感じでしょうか?
ken
常連さん
会議室デビュー日: 2002/11/07
投稿数: 22
お住まい・勤務地: **・東京
投稿日時: 2003-04-15 17:10
BASEさん
丁寧なレスありがとうございます。

> 2.トラフィック中にウイルスコードが無いかを確認するためにはGatewayタイプの
>   アンチウイルス製品
>   サーバ全体を監視するためには、Serverタイプのアンチウイルスソフト

このあたりの、Solaris8で稼動する
お勧めの製品などありませんでしょうか?
BASE
大ベテラン
会議室デビュー日: 2002/03/13
投稿数: 178
投稿日時: 2003-04-16 10:52
ざっとしか探していませんが、

InterScanVirusWallがSolaris8に対応しているようです。
#というか、他に見つからなかった・・・
私の回答で言えば、HTTPトラフィックを監視するタイプですね。

ただ、Solarisでの実績はわからないので、
導入前に監視したい通信の監視についてベンダとしっかり議論をしたほうが良いかと思います。

InterScanVirusWallについてアップロードのケースについては
実際に監視を行っている例は経験が無いので。
#口頭で問題無いですよとは聞いたことはありますが・・・
ken
常連さん
会議室デビュー日: 2002/11/07
投稿数: 22
お住まい・勤務地: **・東京
投稿日時: 2003-04-16 16:32
BASEさん
わざわざ探していただき、恐縮です。

いただいたアドバイス、
社内の担当のものにも伝えて対応したいと思います。

とても助かりました。ありがとうございました。
どんちゃん
常連さん
会議室デビュー日: 2003/01/07
投稿数: 30
投稿日時: 2003-04-17 10:18
Security&Trustのフォーラムスポンサーであるアラジンさん
からも同様の製品が出ていますね。

http://www.aladdin.co.jp/esafe/gateway.html

機能的にはかなり良さそうなのですが、Win32/Linux版のみ
ですね。Gateway製品なので別箱を用意して使えるので考慮
する余地はあるかも知れません。
BASE
大ベテラン
会議室デビュー日: 2002/03/13
投稿数: 178
投稿日時: 2003-04-17 10:36
ども、書き忘れてしまいましたが、
Soralisがファイルのアップロード先のServerの場合は、
どんちゃんさんが言うように別箱に分けることをお勧めします。

その場合は選択肢がぐっと広がりますし、
トラフィックによっては同価格で、
FireWall、IDS、ウイルスのオールインワン系のアプライアンスも
視野に入れられるかと思います。

でわ
どんちゃん
常連さん
会議室デビュー日: 2003/01/07
投稿数: 30
投稿日時: 2003-04-17 11:56
BASEさん、どうもです。

>ども、書き忘れてしまいましたが、
>Soralisがファイルのアップロード先のServerの場合は、
>どんちゃんさんが言うように別箱に分けることをお勧めします。

元記事では外からのアップロード(内向き)の防御のようです
ので、アップロード先はDMZゾーンもしくは内側だと考えられ
ますので、別箱は必須のような気がします。
GW製品をFWと上下に配置し、外向きと内向きでフィルタする
と社内で感染したデータが共有ディスクなどに置かれることも
防げます。AntiVirus/SMTP/HTTP/FTPをフィルタする製品はいまや
必須になってきてると思いますね。

>その場合は選択肢がぐっと広がりますし、
>トラフィックによっては同価格で、
>FireWall、IDS、ウイルスのオールインワン系のアプライアンスも
>視野に入れられるかと思います。

IDS(IPS)/SMTP,FTP,HTTPフィルタ/AntiVirus/IPSec/BBルータと
複数機能を持つアプライアンスサーバがありますので、かなり
悩めますね。

スキルアップ/キャリアアップ(JOB@IT)