NETWORLD+INTEROP 2004 TOKYO・2日目の夜に行われたのが、昨年12月に発足したばかりの日本Snortユーザ会により行われた「IDSと過す夕べ(Snortを語らう)」と題されたBOF。ただ内容はSnortそのものの話題というよりは、セキュリティ業界全般に関する発表会といった趣で、電子工作からネットワークフォレンジックに至るまで幅広い話題が登場。会場は約100人収容の席がほぼ満席になり、参加者への配布用に用意された1CD snortも最後には品切れになるなど、非常に盛況なBOFとなった。

非常に安くパッシブタップを作る方法

最初に登場したタイムインターメディアの太田敏文氏は「パッシブタップの作り方」について解説した。これは本家SnortのWebサイトに掲載されている「Construction and Use of a Passive Ethernet Tap」という記事を元に、Ethernetでの通信内容を、本来の通信に影響を与えずに分岐してモニタする、パッシブタップを実際に自作してみたという発表。

同氏はまず「UTPケーブルにRJ-45のコネクタを取り付けるとき、昔は(電気信号の波形をできるだけ崩さないために)ケーブルのよりをぎりぎりまで残せと言われていたが、今ではスイッチングハブが自動的に信号の波形を補正してくれるため、ケーブルのよりがなくても動くようになった」と述べ、それであれば市販の宅内配線用のローゼットボックスを使ってパッシブタップを作れるのではないか、と思ったのが今回の発想のきっかけであると語った。

それで実際にいろいろ規格を調べてみたところ、10Base-T/100Base-TXの場合は上りと下りの信号線が分かれているため、実際に送信側が1台・受信側が2台という形で信号の分岐を行っても「抵抗が1/2になってしまうが、分岐した段階で受信インピーダンスが無限大になるので、実際には問題は起きない」(同氏)という。ただ受信側の片方の口に何もつながない状態になっていると、そこで信号の反射が起きて波形が崩れてしまうためLANが動作しなくなってしまうとのこと。

今回は松下電工とPanduitのローゼットボックスを使って試作を行ったということで、実際にケーブルを圧着したり取り回したりする際の苦労や注意事項などについて詳しく説明があったが、結論は「松下のボックスの方が、サイズが大きいので波形が崩れるのではないかと心配だったが、MTUぎりぎりの大きなサイズのパケットを送っても全く問題はなかった」という。ローゼットボックス自体は4個口のものでどちらも3,000～4,000円程度だったというから、非常に安くパッシブタップを作れるとのことで参加者の注目も集まっていた。

ちなみに「1000Base-Tでは一本の信号線で双方向の信号をやり取りしているので、原理的に1000Base-Tのパッシブタップは作れません」と同氏は語ったが、会場からは「来年はぜひ1000Base-Tのパッシブタップに挑戦を」という声が多数飛び、同氏を困惑させていた(笑)。

Winnyユーザが多いプロバイダはどこ?

続いて登場したのがネットエージェントの杉浦隆幸氏。ネットエージェントといえば、最近はWinnyやSoftEtherのトラフィックをも止められるというファイアウオール「One Point Wall」ですっかりおなじみだが、今回もその期待に違わず、1CD Snortの解説に続いてWinnyに関するトラフィック分析の結果を披露した。

同氏はまず、ノードリストなどを収集して分析した結果から、ユニークノード数としてのWinnyのユーザ数は約24万人であると推定した。またWinnyで流れているファイルの種類で多いものとして「最も多いのは.zipで約21%、以下.jpg、.mp3、.avi、.mpgなどと続く」と語った。

Winnyで使われるポート番号については、Winnyの初期バージョンで固定的に使われていた「7743(名無しさん)」を使っているユーザが今でも3.46%とトップ。またその周辺の7742、7744番を使うユーザも多いほか、HTTPのトラフィックに見せかけるためか80番や8080番の利用も多く、あと「なぜか6699番(WinMXの標準ポート番号)を使うユーザも多い」とのこと。一方32768番以降を使うユーザは非常に少なく、これは「Winnyが初回起動時にランダムでポート番号を決める際に、2の15乗(32768)未満でポート番号を決めているため」ではないかと同氏は推測した。

さらにWinnyユーザの共有動向を調べると、全ユーザの94.4%が何らかのファイルを共有しているということが判明したほか、共有しているファイルのうち明らかに合法と思われるファイル(Winny自身の配布を含む)はわずか1%しかなく、98%は明らかに違法か権利的にグレーなファイルであるという(合法かどうかはファイル名で判断したとのこと)。ちなみに残る1%が気になるが、何とこれは「Antinnyウイルス」なのだそうだ。

最後に大手プロバイダのWinnyユーザの数の順位と全ユーザに対する比率が示されたが、最もユーザ数が多いのはYahoo!BB。以下OCN・ぷらら・DION・@nifty・BIGLOBE・So-netなどと続く。ただ全ユーザに対する比率ではYahoo!BB・ぷららが1%を越える一方、@nifty・BIGLOBEは0.3%前後と比較的低い数字に収まった。また特筆すべきなのが、関西でCATVインターネット事業を展開するZAQのユーザ比率が1.98%と非常に高いこと。同じくCATVインターネットでは@NetHomeもユーザ数でSo-netの次に位置しており(全ユーザ数を公表していないため比率は不明)、CATVインターネットでのWinny人気の高さが垣間見える結果となった。

ネットワークフォレンジックの強い味方?

最後に登場したのが渡辺勝弘＠犬のみっきー氏(日本Snortユーザ会事務局代表)。同氏はいわゆるネットワークフォレンジックに関連して、従来の同種の製品の問題点を少しでも解消してくれるのではないかというツールを紹介した。

同氏はまず、インシデント時に前後のトラフィックを調査して関連性を調べるといった用途に使われるネットワークフォレンジック製品について「トラフィックを片っ端から記録するタイプの製品は大規模LANではそもそもすぐにHDDの容量が溢れてしまうので非現実的だし、小規模LANでは今度は価格が高すぎてやっぱり非現実的」と指摘した。実際同氏が勤める会社で実際に外部との接続のトラフィックを同種の製品で記録したところ、340GBのHDDがわずか3日でパンクしたという。

同氏は「フォレンジック目的だと、場合によっては1～2カ月前からのアクセス記録を解析する必要があったりするので、それくらいは記録してくれないと困る」と述べたほか、「実際インシデントが発生したときに解析するのはどこからどこへどのくらい通信が発生したかという程度だし、もしペイロードに何か問題があれば多くの場合IDSで検知してくれる」と語り、データグラムを除いて記録を取るようなソフトで十分との考え方を披露した。

そこで同氏が目をつけたのが「Argus(the network Audit Record Generation and Utilization System)」というオープンソースのツール。まさにこのツールはそういった「必要なところだけの記録を取れるツール」なのだそうで、付属の各種集計ツールを使うことでトラフィックの発生傾向の分析などが可能になるとして、それらのツールの細かい使い方などを同氏は解説した。

ArgusはIBM Public Licenseで公開されているため商用利用には大きな制限が付くとのことで、これを実際に使える環境にある方は決して多くはないかもしれないが、同氏によれば「平均50Mbpsのトラフィックが流れるネットワークで実験したところ、100GBのHDDでtcpdumpだと約4時間でHDDが一杯になるところが、Argusだと27時間ぐらい記録できた」「適切なフィルタを施せば、この4時間が1カ月ぐらいにはなる」とのことなので、興味のある方は試してみてはいかがだろうか。