Hewlett-Packard(HP)は企業向けのペネトレーションテスティングサービスを10月に立ち上げ予定だが、顧客システムにワームを仕掛けようとしているという報道は否定した。
HPは英国時間7月4日、同サービスではハッカーと同じ技術を使って顧客のマシンへのアクセスを試みることを明らかにした。一方で、同社が使うエクスプロイトコードは制御されたもので自ら増殖することはないと説明した。
HP Labsで危機管理部門のマネージャーを務めるRichard Brown氏は「システムにアクセスする際にはハッキング技術を使うが、アクセス後にはそのシステムの安全化に務める」と語る。「ワームを仕掛けたり、ワームを増殖させる技術を使ったりはしない」とBrown氏はZDNet UKに語った。
このペネトレーションテスティングサービス「HP Active Countermeasures(HPAC)」は25万台の接続されたマシンに対し1台のサーバと8〜10台のスキャン用クライアントを使用する。各クライアントは検査のための一連のIPアドレスが与えられ、各マシン上の特定の脆弱性をスキャンする。
「HPACは、不正な形式のプロトコルメッセージを空いているポートに送ることでコンピュータへの侵入を試みる。例えば、『Code Red』は『MS IIS』というWebサービスソフトウェアにある脆弱性を悪用したワームだが、HPACも同じ脆弱性を利用する」とBrown氏は言う。
HPACチームでは、例えば、バッファやヒープ、スタックのオーバーフローを引き起こす不正な形式のコードといったハッキング技術を利用することで、マシンの制御を掌握する。インターネット上で見つかった既知のエクスプロイトコードを使う場合もあれば、独自にエクスプロイトコードを作成することもある。
「エクスプロイトコードが入手できなければ、自分たちで作る」(Brown氏)
HPACチームは問題の修復までは行わないが、顧客に警告を与え、必要であればその問題が解決されるまで顧客に協力する。
「マシンの制御を掌握できた場合には、被害を和らげるための対策は講じる。正しい方法でパッチファイルが適用されるまでは仮の修正ファイルを提供する。われわれにはポップアップウィンドウを表示して『このマシンはSasserに対して脆弱です』と伝えることくらいしかできない。しかし、必要に応じて対策の度合いを高め、そのマシンを完全にオフラインにすることもできる」とBrown氏は言う。「最悪の場合、マシンをシャットダウンするのも可能だ。そのマシンがインフラに被害をもたらすのを阻止するためだ」(Brown氏)
HPは同技術を自社のネットワークをテストするために2001年から使ってきた。そして今、サービスとしてHPACの提供に踏み切った。同社では既に、社内ITチームが掲示板や、コンピュータ危機管理チームおよびベンダーからの警告をチェックする体制が出来ている。
新種の攻撃が報告されると、同チームはそのリスクを評価し、最も深刻な脆弱性を調査する。
「何千もの脆弱性が見つかっているが、大抵の場合は通常のパッチ処理で解決できる。われわれが最も懸念しているのは『ワームの侵入を許す』脆弱性だ。業務に最大の被害をもたらすからだ」(Brown氏)
HPがシステムのスキャンを行う際には顧客による承認が必要だ。スキャンによる障害の発生が心配な場合は、顧客は特定のサーバやデバイスをスキャンの対象から外すよう指定することもできる。
この記事は海外CNET Networks発のニュースを編集部が日本向けに編集したものです。 海外CNET Networksの記事へ
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」