前回は、マイクロソフト公開のツール群「Windows Sysinternals」の1つを使って自動実行から怪しいファイルを見つける方法を紹介しました。今回は、同じくWindows Sysinternalsを利用し、通信から怪しいファイルを見つける方法を紹介します。
通信の状況からウイルスやスパイウェアを探る
トロイの木馬型やバックドアのようなタイプは、外部(おもにはウイルスの作者)とインターネット通信を行ない、情報の受け渡しや、ウイルスプログラム自身の更新などを行ないます。そのため、PCで行なわれている通信の状況を確認すれば、そういったウイルスなどの活動を見つけ出すことができます。この場合には、Windows Sysinternalsの「TCPView for Windows」が役に立ちます。
TCPViewは、そのPCで行なわれている通信をリアルタイムで表示してくれるツールで、netstatコマンドで取得できるのと同等の情報を表示してくれます。ここで注目すべきなのは、StateがEstablishになっていて、Remote Addressがlocalhost以外になっているものです。
StateがEstablishというのは、通信が確立している状態のものを示しています。Remote Addressは接続先を示していますので、localhost、つまり自分のPC自体ではない場所と通信しているものを見ていきましょう。わかりやすくするため、ネットワーク通信を行なうことが分かっているプログラム、たとえばブラウザやSkypeなどは終了させておくことをお奨めします。
Remote Addressがlocalhostでないからといって、すべてが不審な通信というわけではありません。Whois情報を参考に、次は接続先がどこなのかを調べていきましょう。
Whois情報とは?
インターネットのすべてのドメイン・IPアドレスには、所有者が登録されています。ドメインやIPアドレスから、その所有者を見つけ出すのがWhois情報です。Whois情報の検索は、ツールなどさまざまな方法がありますが、今回はWebサービスを利用する方法を案内します。
Whois情報を検索できるサイトはいくつかありますが、今回は米ドメインツールズの「DomainTools」を使います。使い方は非常に簡単で、Webサイトの「Search Domain Ownership Records」に調べたいRemote Addressのドメイン名やIPアドレスを入力するだけです。たとえば、VPC.exeというプロセスが接続している「65.55.5.232」というIPを調べてみると、所有者がMicrosoft Corpになっているので、怪しいものではなさそうだということがわかります。
実はこのWhois情報の検索はTCPViewの右クリックメニューからも行なえるのですが、IPアドレスからの検索に対応していないなど不十分なところがあるため、今回はWebサービスを使う方法を紹介しました。
Listenしているプログラムも確認しよう
Establishedのプログラムに問題がない場合は、Listenしているプログラムについても見てみましょう。
Listenという状態は、Webサーバーの様に外部からの接続を受け付けている状態を示しています。トロイの木馬は内部から外部への通信を行なうことが多いですが、バックドアでは逆にインターネットの接続を待ち受けることがあるからです。
Listenしているプログラムがあれば、右クリックのメニューから「Process Properties」を開き、ファイルのフルパスを確認してみましょう。インストールした覚えがなければ、セキュリティソフトやOSのファイアウォールを利用し、通信を行なえないようにして様子を確認するのがよいでしょう。
こうしたListenしているケースは、ルーターを導入している場合はあまり気にする必要はありません。インターネット側からは、ルーターの先のどのPCがListenしているかわからないため、通信できないためです。もちろんルーターで正しくポートマッピングなどされている場合は別ですが。
PPPoEなどで直接接続を行なっている場合は、ルーターを導入してしまうというのも大きなセキュリティ対策になります。
筆者紹介:富安洋介
エフセキュア株式会社 テクノロジー&サービス部 プロダクトエキスパート
2008年、エフセキュアに入社。主にLinux製品について、パートナーへの技術的支援を担当する。
この連載の記事
-
最終回
TECH
セキュリティの根本はインシデントに備えた体制作りから -
第54回
TECH
マルウェア感染の被害を抑える「転ばぬ先の出口対策」 -
第53回
TECH
マルウェア感染を発見した際の初期対応 -
第52回
TECH
ついに成立したサイバー刑法に懸念点はないか -
第51回
TECH
施行されたサイバー刑法における「ウイルス作成罪」の内容 -
第50回
TECH
サイバー刑法が過去に抱えていた問題点 -
第49回
TECH
ウイルス作者を取り締まるサイバー刑法ができるまで -
第48回
TECH
医療ICTの今後の広がり -
第47回
TECH
重大な情報を扱う医療ICTのセキュリティ対策 -
第46回
TECH
医療ICTの柱「レセプト電算処理システム」の仕組みと問題 -
第45回
TECH
医療分野で普及が進む電子カルテシステムの課題 - この連載の一覧へ