ファイアウォールは、オープンソースのものでも商用のものでも、ログを記録し管理者に提供している。そのログの解析にオープンソース・ソフトウェアを成功に導いた原理を適用することで、リスク評価をもう一段深めることはできないだろうか。お互いに助け合えるような方法はないのだろうか。以下に紹介するDShieldは、まさにそうした試みだ。
分散型侵入検知システムと自称するDShieldは、世界中のファイアウォールからデータを収集することによって機能する。DShieldに集まるデータは、同団体のWebサイトによれば、1日におよそ2400万レコード、先月は8億4000万を超えたという。
DShieldにこうした膨大な量のデータが集まるのは、クライアントが多いことと、そのクライアントで動作するサードパーティ製アドオンによるものだ。クライアントの数はハードウェア・ファイアウォールとソフトウェア・ファイアウォールを合わせて60を超えており、LinuxベースのiptablesからWindows XP Internet Connection Firewallまで大方のファイアウォールが揃っている。こうして集まった情報から、ネットワーク上で誰がどこでどのような疑わしい行動をしたのかが世界規模でわかるのである。
誰が、どこで、何をインターネットで誰がトラブルを起こしているかは、DShieldのTop 10 Most Wanted(攻撃者のトップテン)レポートを見ればわかる。世界で攻撃している者のうち上位10人が、そのIPアドレス、ホスト名、関与が疑われる記録の数、攻撃したホストの数などの統計情報と共に一覧になっているのだ。そうした問題をISPに通報するための連絡先も掲載されている。さらには、DShieldがログファイルを攻撃者の属するISPに送ることを許容すれば、「FightBack(反撃)」することも可能だ。
DShieldに集まったデータからは、また別の情報も得られる。DShieldのAre you cracked?(クラックされている?)では、自分が既知の攻撃者データベースに載っているかどうかを確認することができる。もし自分のIPアドレスが載っていたら問題を抱えていることになるが、少なくとも自分のマシンがどんな悪さをしているかは知ることができる。そのマシンが攻撃しているポートがわかるからだ。
さらに、はた迷惑で悪名高いネットワークのほとんどを含むブラックリストも作成されており、ブラックリストを入手するためのPerlスクリプトと、入手したブラックリストをLinuxに実装するためのiptablesスクリプトも用意されている。しかし、この種のブラックリストを実装するのは考えものだ。あるネットワークからの接続を拒否すれば、そのネットワークに接続するすべてのインターネット接続を拒否することになるからだ。もう少し賢い方法は、ユーザーに最も手を焼いているのはどのISPかを見ておくことだろう。
それでは、悪意ある者は何をしているのだろうか。DShieldでは、過去30日間のデータからTop 10 Target Ports(攻撃されたポートのトップテン)を調べている。このページに一覧されている表のポートをクリックすると、そのポートに関する情報と攻撃の詳細が表示される。すなわち、ポートの使用目的、ポートの持つ既知の脆弱性、過去30日間の攻撃件数の推移を表すグラフ、攻撃件数と攻撃者数の日ごとの実数が表示される。お使いのサーバーがこうしたポート上でサービスを提供しているなら、ファイアウォールとソフトウェアが最新のものになっていることを確かめた方がいいだろう。
また、攻撃を仕掛けた場所の概要も大陸単位で分析されている。同サイトのメインページには世界地図が表示されているが、その各大陸にはそこから行われた攻撃のポート別頻度が上位6位まで円グラフで描かれている。これを見れば、ネットワークに対する攻撃がまさに世界的であることがわかる。筆者にしても、このサイトで初めて、ICQに対する攻撃の多くがアジアから行われていることを知ったのだ。特定の日の地図を見るだけでは物足りないというなら、過去4日間の推移が動画で表示される「DShield, the Movie(動画表示)」もある。
なお、DShieldサイトにある機能のうち2つが動作しなかったのには驚いた。一つは、ファイアウォール・ログを提供するための「Web Interface」で、ログを送付するためのフォームもなければ手順もない、空白のページが開くだけだ(翻訳者注:6月24日現在、フォームが表示される)。もう一つは、大陸上の円グラフをクリックしたときの機能だ。その大陸から報告された攻撃の内訳を表示するはずだが、動作しなかった。この動作不良は、1週間以上続いている。
人々から提供された情報から経済的利益を得ている者がいるかどうかを調べようと、DShieldの仕掛け人を探してみた。DShieldのWebをひっくり返してみたが、何も情報はない。しかし、「DShield」はEuclidian Consultingのサービスマークである。そこで、Euclidianのサイトを見ると、サイトはきわめて簡素な作りだが、同社がデータベース駆動型Webサイトを専門としており、DShieldはその一例であることがわかる。そして、このサイトにあるニュースリリースのページには、SANS Internet Storm Center(ISC)のCTOであるJohannes Ullrichの名が頻繁に登場する。しかも、DShieldのサイトにはISCのために情報を集めているとは書かれていないものの、ISCの親会社SANS Instituteから資金の提供を受けていることが記されている。さらに、ISCのサイトはDShieldを使って情報を集めていることを明記している。どうやら、これがDShieldの主たる目的のようだが、ISCのサイトを見なければそれがわからないという点については、首を捻らざるをえない。
DShieldは収集した情報を無償で公開している。しかし、その親会社は、このプロジェクトでデータベースとセキュリティ分野における自社の専門性を示すことによって見返りを得ているようだ。このインフラストラクチャにスポンサーが必要なことはわかる。だが、そのスポンサーが誰か、そしてスポンサーとなった理由を明確にした方がよいと思われる。
DShieldの資金の出所はぼかされている。しかし、DShieldはファイアウォールを運用している者なら誰もが見るべきプロジェクトであり、DShieldにログを提供すればインターネットの安全性を多少とも向上させる役に立つだろう。ネットワークに危害を加えようとしている者に先手を打つ唯一の方法は、攻撃に関する最新情報を常に把握しておくことだからだ。DShieldのデータがネットワークの保護に役立つということだけでも、十分な理由になるはずだ。DShieldに集まる情報が多くなれば、それだけセキュリティは高くなるのである。