三井物産セキュアディレクションは11月16日、米ミラージュ・ネットワークスのウイルス拡散防止装置「Mirage Inverted Firewall」の販売を開始した。SQLスラマーやブラスターといったネットワーク経由で感染するウイルスのまん延を防ぐ製品である。仮想的に“おとりパソコン”を作るなどでウイルスの矛先をMirage Inverted Firewallに向けさせることで、他のパソコンへの感染を防ぐ。
Mirage Inverted Firewallはネットワーク・セグメントごとに設置し、そのセグメント内でウイルスが活動していないかどうかを監視する。具体的には、そのセグメントのルート・スイッチのミラーリング・ポートに接続し、セグメント内の全通信を監視。手当たり次第にポート・スキャンをかけるなど、他のパソコンへ攻撃をかけているパソコンを見つけると、そこからウイルスが広がらないよう、対策を打つ。
ウイルスに感染したパソコンの動きを封じる方法は二つある。仮想的なおとりパソコンとだけ通信をさせる「Active Deception」と、他のパソコンとの通信を横取りしてしまう「Attack Deflection」だ。どちらの手法を使うかは、ユーザーが設定できる。
Active Deceptionでは、使われていないIPアドレスを用いて仮想的なパソコンを作り出し、ウイルス感染パソコンがおとりパソコンに接続すると、故意にタイムアウトを発生させるなどで応答を繰り返す。おとりパソコンとだけ常に通信する状態となり、ほかのパソコンへ攻撃できなくなる。
もう一つのAttack Deflectionでは、ウイルス感染パソコンと他のパソコンとの通信そのものを横取りしてしまう。ウイルス感染パソコンが攻撃相手を探す場合は通常、任意のIPアドレスに対してARPパケットと呼ばれるパケットをブロードキャスト(一斉同報)する。そのIPアドレスを使っているパソコンが自分のMACアドレス(物理アドレス)を返すと、そのMACアドレスに対して攻撃をかける。Mirage Inverted Firewallは、ウイルスに感染していると判定したパソコンがARPパケットを発信すると、どんなIPアドレスであっても自分のMACアドレスを返す。それによって攻撃はすべて自分に向くようにする。
米ミラージュ・ネットワークスのマーク・ウィルキンソンCTO(最高技術責任者、写真右)はMirage Inverted Firewallの特徴の一つとして、既存のスイッチを利用できる点を挙げる。「他社のソリューションは拡散防止の機能をスイッチに持たせるため、社内のスイッチをすべて同一メーカーのものに入れ替える必要がある。一部のスイッチの入れ替えだけで済むものもあるが、その場合は、ネットワークの一部の領域でウイルスの拡散を許してしまう。その点Mirageの製品は、スイッチの入れ替えなしで導入でき、一部で拡散を許してしまうこともない」と自信を見せる。
現状のMirage Inverted Firewallはウイルスの拡散を防ぐだけで、ウイルスに感染したパソコンを正常な状態にするための機能は備えていない。トニイ・ジェニングス社長兼CEO(最高経営責任者、写真左)によれば、「来年4月には、ウイルス感染パソコンのウイルスを駆除できる、いわゆる“検疫ネット”を構築する機能を提供する予定」だ。
価格は、最大スループットが400Mビット/秒のModel 145が270万円、1Gビット/秒のModel 245が365万円。三井物産セキュアディレクションは、2005年度末までに500台、10億円の売り上げを目指す。
