「eEye Research Web」がスタート

ITpro Watcher

2006.08.09

　eEyeでは、以前よりセキュリティ研究に特化したWebサイトの準備を進めてきました。そして8月1日に準備が整い、一般公開することとなりました。

http://research.eEye.com

　このWebサイトは、eEyeリサーチ・チームの研究成果を発表する場です。論文や講演資料、ツール、セキュリティ・アドバイザリなどを一般に無償提供します。eEyeのビジネスにとらわれることなく、ベンダー中立で面白い研究成果を出していきたいと考えています。私はこのeEye Research Webで、日本の皆さんにお役に立てるような研究成果を出していければと思っています。

eEyeアドバイザリ

　このWebサイトでは、「http://www.eeye.com」で公開していたアドバイザリをすべて閲覧できます。URLは、http://research.eeye.com/html/advisories/です（日本語版については、住商情報システムのWebサイトをご確認ください）。従来と同じように、脆弱性をベンダーに報告した後に公開する、詳細情報の無い「Upcomming Advisory」、ベンダーが修正版をリリースした後に公開する、詳細情報を記述した「Published Advisory」があります。

　現在、いくつかの未修正脆弱性がUpcomming Advisoryページにリストアップされており、ベンダーからの修正版リリースを待っているという状況です。

　今後は、日本に特化した製品のセキュリティ監査も行っていきたいと考えています。

ツール・セクション

　ツール・セクションでは、様々なセキュリティ・ツールを無償でダウンロードできます。eEye Research Webの発表と同時に公開された新しいツールがいくつかありますので、この場を借りて紹介します。機能追加の要望や質問などがあったら、ぜひ「skunkworks@eeye.com」までご連絡ください。

◆BIOT

　公開したツールの一つは「BIOT」と呼ばれるものです。

BIOT

　Windows XP SP2と Windows Server 2003 SP1のTCP/IPスタックでは、ホストがワームに感染した際、他のホストへの影響を最小限にするため、不完全な外向きのTCP同時接続数を10接続に制限しています。BIOTは、この接続制限を回避するためのツールです。システム・ファイルに一切手を加えることなく、TCP/IPドライバが利用するカーネル・メモリーの内容をランタイムに書き換えることで、接続制限の回避を実現しています。このツールについては、後ほど「ITPro Watcher」にて、利用法とその内部動作を詳しく解説する予定です。

◆eEye Binary Diffing Suite

　「eEye Binary Diffing Suite」は、バイナリ差分解析を補助するためのツールです。パッチ適用によるバイナリ差分をリバース・エンジニアリングして解析する際に非常に有用です。現時点では少々バグが残っていますので、機能強化を含め、近いうちにアップデートする予定です。本ツールは、オープンソースのフリーウエアとして公開していますので、フィードバックやバグ修正などをいただけると非常に助かります。

◆Duster

　「Duster」とは、Dead/Uninitialized Stack Eraserの略であり、埋め込み可能なDLLとして提供されます。指定されたホスト・プロセスが保有する、初期化されていないスタックとヒープ・メモリーを特定の値でワイプ・オーバーします。ホスト・プロセスは、初期化されていないメモリーをアクセスすることによる例外が発生しやすくなり、問題を発見できる可能性が高くなります。Duster DLLは、プロセスにロードされると自動的にアクティベートされます。Windows NT 4.0／2000／XP／2003専用です。

　その他、「SysRQ.iso」に含まれる「BootRoot」など、いくつかのツールがアップデートされています。SysRQ.isoはCDのISOイメージであり、このCD経由でHDD内にあるWindowsカーネルを起動すると、SYSTEM権限のコマンド・プロンプトをWindowsログオンすることなく利用できます。