このページの本文へ

週刊セキュリティレポート ― 第35回

Sysinternalsで見つける怪しいファイル その2

スパイウェアによる通信をTCPViewで見つけよう

2012年03月19日 06時00分更新

文● 富安洋介/エフセキュア

  • この記事をはてなブックマークに追加
  • 本文印刷

 前回は、マイクロソフト公開のツール群「Windows Sysinternals」の1つを使って自動実行から怪しいファイルを見つける方法を紹介しました。今回は、同じくWindows Sysinternalsを利用し、通信から怪しいファイルを見つける方法を紹介します。

通信の状況からウイルスやスパイウェアを探る

 トロイの木馬型やバックドアのようなタイプは、外部(おもにはウイルスの作者)とインターネット通信を行ない、情報の受け渡しや、ウイルスプログラム自身の更新などを行ないます。そのため、PCで行なわれている通信の状況を確認すれば、そういったウイルスなどの活動を見つけ出すことができます。この場合には、Windows Sysinternalsの「TCPView for Windows」が役に立ちます。

使っているプログラムによっては、実に多くの通信が行なわれる場合がある

 TCPViewは、そのPCで行なわれている通信をリアルタイムで表示してくれるツールで、netstatコマンドで取得できるのと同等の情報を表示してくれます。ここで注目すべきなのは、StateがEstablishになっていて、Remote Addressがlocalhost以外になっているものです。

 StateがEstablishというのは、通信が確立している状態のものを示しています。Remote Addressは接続先を示していますので、localhost、つまり自分のPC自体ではない場所と通信しているものを見ていきましょう。わかりやすくするため、ネットワーク通信を行なうことが分かっているプログラム、たとえばブラウザやSkypeなどは終了させておくことをお奨めします。

Remote Addressがドメイン名の場合は、接続先の想像がつく場合がある

 Remote Addressがlocalhostでないからといって、すべてが不審な通信というわけではありません。Whois情報を参考に、次は接続先がどこなのかを調べていきましょう。

Whois情報とは?

 インターネットのすべてのドメイン・IPアドレスには、所有者が登録されています。ドメインやIPアドレスから、その所有者を見つけ出すのがWhois情報です。Whois情報の検索は、ツールなどさまざまな方法がありますが、今回はWebサービスを利用する方法を案内します。

 Whois情報を検索できるサイトはいくつかありますが、今回は米ドメインツールズの「DomainTools」を使います。使い方は非常に簡単で、Webサイトの「Search Domain Ownership Records」に調べたいRemote Addressのドメイン名やIPアドレスを入力するだけです。たとえば、VPC.exeというプロセスが接続している「65.55.5.232」というIPを調べてみると、所有者がMicrosoft Corpになっているので、怪しいものではなさそうだということがわかります。

Refに記載されているURLなどで、より詳しい情報を見ることもできる

 実はこのWhois情報の検索はTCPViewの右クリックメニューからも行なえるのですが、IPアドレスからの検索に対応していないなど不十分なところがあるため、今回はWebサービスを使う方法を紹介しました。

Listenしているプログラムも確認しよう

 Establishedのプログラムに問題がない場合は、Listenしているプログラムについても見てみましょう。

 Listenという状態は、Webサーバーの様に外部からの接続を受け付けている状態を示しています。トロイの木馬は内部から外部への通信を行なうことが多いですが、バックドアでは逆にインターネットの接続を待ち受けることがあるからです。

 Listenしているプログラムがあれば、右クリックのメニューから「Process Properties」を開き、ファイルのフルパスを確認してみましょう。インストールした覚えがなければ、セキュリティソフトやOSのファイアウォールを利用し、通信を行なえないようにして様子を確認するのがよいでしょう。

実はさまざまなプロセスが通信の待ちうけを行なっている

 こうしたListenしているケースは、ルーターを導入している場合はあまり気にする必要はありません。インターネット側からは、ルーターの先のどのPCがListenしているかわからないため、通信できないためです。もちろんルーターで正しくポートマッピングなどされている場合は別ですが。

 PPPoEなどで直接接続を行なっている場合は、ルーターを導入してしまうというのも大きなセキュリティ対策になります。

筆者紹介:富安洋介

エフセキュア株式会社 テクノロジー&サービス部 プロダクトエキスパート
2008年、エフセキュアに入社。主にLinux製品について、パートナーへの技術的支援を担当する。


カテゴリートップへ

この連載の記事
ピックアップ