日立インシデントレスポンスチーム(HIRT)が「ワームが送信するパケットの動きをみてみよう」というコンテンツを公開している。これによると、現況では新しいワームによる大規模な事案は発生していないが、過去ワームに感染したPCの感染活動は今もなお続いているのが現状であるという。

今回HIRTは、こうしたワームによる感染活動、俗に「スキャン」と呼ばれる新たな感染先探索活動を、可視化する試みを公開したのだという。

具体的には下図のような多重の円を最初に描画しておき、それぞれの円弧にIPv4アドレスのオクテットを割り当てている。

図: ネットワークワームの可視化に用いられている円弧の説明 出典: HIRT「ワームが送信するパケットの動きをみてみよう」

HIRTではFlashを使用して、この円弧といくつかのワームによって生成されるトラフィックを表現している。また、実際にこのFlashを使用して、いくつかのワームが生成するトラフィックを閲覧者自身が確認することもできる。

SQL Slammerによって生成されるトラフィックの可視化の例

HIRTでは、ワームの探索活動をそれぞれ可視化してみることで、個々のワームの振る舞いの特徴を視覚的に確認することができるとしている。加えて、こうした探索活動の特徴を定量化することで、ワーム活動の検出や、種類を特定するための1つの判断材料として活用できるのではないかと考えているという。

また、HIRTは今後も、セキュリティに関わる様々な事象を多角的に可視化することで「見えないものを見る」ことに挑戦し、同サイトで紹介していきたいとしている。