2005年07月28日
価格.com改竄事件、NOD32だけがウイルスを検出できた理由
価格.com改竄事件、NOD32だけがウイルスを検知したのはなぜか[impress]
価格.comの事件では、名だたる有名ウイルスソフトがウイルスを検出できない中、NOD32がいち早く、ウイルスを検出して、一躍有名になりました。
いまだ、価格.comがウイルスに感染し、かつ、ウイルスを間接的に配布してしまった理由や経路は公表されていないわけですが、ソフト側の情報がでてきましたね。
価格.comの事件では、名だたる有名ウイルスソフトがウイルスを検出できない中、NOD32がいち早く、ウイルスを検出して、一躍有名になりました。
いまだ、価格.comがウイルスに感染し、かつ、ウイルスを間接的に配布してしまった理由や経路は公表されていないわけですが、ソフト側の情報がでてきましたね。
価格.comの事件でも明らかなように、サイト改竄はインターネット企業にとっては命取りの問題だ。こうした問題を防ぐことはできるのだろうか。「実は防げる。アプリケーションファイアウォールで、HTTPリクエストを調べてフィルタリングし、アプリケーションレベルまでパケットを解析すれば防げたはずだ」(高本部長)となっていますが、これについては、私は否定的見解です。
同記事より
たしかに、フィルタリングソフトを入れれば、不正なリクエストをはじくことはできます
しかし、これには、何が不正なアクセスか?というフィルタリングのルールを事前に記述する必要があります。
これは、ウイルスに対するウイルス定義ファイルみたいなものです
つまり、結局のところ、フィルタリングソフトにルールが記述されていない、不正なアクセスは防げないということです
そして、ここで、考えてください。たとえば、SQLインジェクションに対する、ルールをフィルタに追加するとしましょう。しかし、これって、途中のゲートウェイでフィルタリングするのではなく、SQLインジェクションが問題だとわかっているなら、サーバーソフトの方を直接修正するべきですよね・・・
結局の所、フィルターのパターン更新が必要。パターンを考えて更新するくらいなら、サーバの修正の方が早い場合もある。
ということで、トータルソリューション的には、これを入れれば安全という事は言いきれないと思います。
※効果がないと言うつもりもありませんが。
