プロダクト・レビュー ウイルスを遮断できるブロードバンド・ルータ「GateLock X200」（2） デジタルアドバンテージ 2001/11/20

ウイルス／ワームの検知・駆除機能を内蔵

　ほかのブロードバンド・ルータにはない本機の特徴は、ウイルス／ワーム対策機能が組み込まれていることだ。現在、ウイルスやワームの感染を防ぐ方法としては、まずPCにウイルス対策ソフトウェアをインストールすることが大前提だ。全PCでウイルス対策ソフトウェアをインストールするのも負担のかかる作業だが、ウイルス検索パターンを定義するファイルをこまめにアップデートしたり、全ファイルのチェックをスケジュール化したりするなど、その管理にも手間がかかる。実際、管理を怠ったためにPCへの感染を許してしまった事例もある。

　そこで最近では、メール・サーバやプロキシ・サーバなどインターネットへの窓口となっているサーバ上でウイルスやワームの検出・駆除を行う、という対策手段が注目されている。これだと、限られた台数のサーバ・マシンが対象となるので、台数の多いクライアントPCで完全なウイルス対策の体制を整えるよりは、管理の負担はずっと軽くなる＊1。

＊1　リムーバブル・メディアやモバイルPCなどネットワーク以外の経路でも感染は生じるので、各クライアントPCでの対策も必要ではある。それでも、サーバ側で対策をしているほうが、クライアントPC側の対策が十分でなくても、感染する確率を大きく引き下げられるだろう。

　上記はネットワーク規模の大きな企業あるいはISP向けのソリューションだが、この発想を廉価なブロードバンド・ルータに持ち込んだという点で、GateLock X200は画期的だ。本機にはウイルス検索エンジンとウイルス駆除プログラムが内蔵されており、メールの送信（SMTP）と受信（POP3）＊2、Webメールのトラフィックを監視して、その中のウイルスを検知・駆除できる。LANに接続された全機器がこの防御の対象であり、PCのOSやハードウェア・アーキテクチャには依存しない。

＊2　仕様には記されていないが、編集部で確認したところAPOPでも正常に動作した。

　GateLock X200側の設定は以下のように簡単で、クライアントPC側の設定は特に変更する必要はない（GateLock X200は、監視対象のプロトコルに対して透過型プロキシとして働くため、LAN側のPCは普段、監視の有無を特に意識せずに済む）。

ウイルス対策機能の設定画面

チェックボックスをオンにしておけば、ウイルスが検知されるまで、その存在を意識せずにウイルス対策機能を利用できる。

Webメールの監視 　 SMTP／POP3のメール監視 　ウイルスが見つかった場合は、「Clean（駆除）」「Delete（削除）」「Pass（放置）」という3種類の処理が選べる。いずれもログには記録される。

　SMTP／POP3でウイルスの混入したメールが検知されると、前述のフロント・パネルの「ANTI-VIRUS LED」が赤く点灯するとともに、本機の内部でメールが留められる（この時点で送信先にはまだメールは配送されない）。そして駆除や削除あるいは放置という設定に従ってメールが処理された後で、警告文を記したテキストに処理済みメールが添付されてから、メールの配送が再開される（これで元のメールの送信先へ配送される）。なお本機の技術白書によれば、メールのサイズが合計2Mbytes以上だったり添付ファイルがアーカイバで3重にアーカイブ（圧縮・連結）されていたりすると、検出作業は行われない（このとき、検出できないという通知がメールに追加される）。この点は残念なところだが、メモリ容量やプロセッサ・パワーが限定されるアプライアンスでは、こうした制限もやむを得ないことなのだろう。

メールにウイルスが見つかったときのログの例

これはGateLock X200内部に記録されるものだ。「Virus Name」に表示されるウイルス名をクリックすると、トレンドマイクロが提供している該当ウイルスの情報ページが表示されるのは便利だ。また、このログを参照すると警告LEDの表示が赤から緑に戻る。だが検出されたのが送信時か受信時か、すぐに判別できない点が惜しい。

　

From <support@trendmicro.com> Wed Nov 14 16:23:12 2001 From: support@trendmicro.com To: gatelock_user Subject: GateLock Virus Notification. MIME-Version: 1.0 Content-Type: Multipart/Mixed; boundary="----=_GateLock_5E06103F3000_1ba6badd.011d71df" Status:This is a multi-part message in MIME format. ------=_GateLock_5E06103F3000_1ba6badd.011d71df Content-Type: text/plain; charset="iso-8859-1" Content-Transfer-Encoding: 8-bit Dear GateLock user, GateLock has detected the PE_Magistr.A in your email attachment "MSOOBE.EXE". The file has been cleaned. Your original mail message and the cleaned file attachment(s) are attached with this notification mail. ------=_GateLock_5E06103F3000_1ba6badd.011d71df Content-Type: Message/RFC822 Content-Disposition: attachment;filename="Message" Content-Transfer-Encoding: 8-bit …… 以下略

メールにウイルスが見つかったときの警告メールの例（受信時に検知）

これはLAN側のPCでメールの受信時にウイルスが見つかったときのもの（白文字が本文で、灰色の文字がメール・ヘッダなど）。添付ファイルに「PE_Magister.A」というウイルスが検出され、駆除後のファイルを含む、元のメールをこの警告メールに添付して送った、ということが記されている。なお、この内容は正式出荷時には日本語になる予定だ。

　少し気になったのは、LAN側からGateLock X200経由で送信したメールにウイルスが混入していた場合、警告メールは送信先に送られてしまうことだ。従って、送信者は本機の警告LEDかログを見るまではウイルス付きメールを送信したことに気が付かない。また、警告メールの内容は上記の受信時警告メールと同じなので、受信した人は、送信者がトレンドマイクロで、本文が「Dear GateLock user,」から始まる、いわば「よく分からない」メールを受け取ることになる。添付ファイルを開けば元のメールが表示され、本当の送信者も分かるから対処できるだろうが、そもそもよく分からないメールの添付ファイルを開くのは、一般的なメール関連のセキュリティ・ポリシーに反するものだ。最低限、警告メールの文面は適切なものに変更すべきと感じた。

From <support@trendmicro.com> Wed Nov 14 16:11:30 2001 Received: from xxxxx.iij4u.or.jp (xxxxx.iij4u.or.jp [xxx.xxx.xxx.xxx]) …… Received: from SHIMAPCxxxxx (xxxxx.d-advantage.jp [xxx.xxx.xxx.xxx]) …… Date: Wed, 14 Nov 2001 16:11:30 +0900 (JST) Message-Id: <200111140711.fAE7BUT27097@xxxxx.iij4u.or.jp> From: support@trendmicro.com To: gatelock_user@xxxxx.iij4u.or.jp Subject: GateLock Virus Notification. MIME-Version: 1.0 Content-Type: Multipart/Mixed; boundary="----=_GateLock_5E06103F3000_6c0aa061.2ca86a2b" This is a multi-part message in MIME format. ------=_GateLock_5E06103F3000_6c0aa061.2ca86a2b Content-Type: text/plain; charset="iso-8859-1" Content-Transfer-Encoding: 8-bit Dear GateLock user, GateLock has detected the PE_Magistr.A in your email attachment "MSOOBE.EXE". The file has been cleaned. Your original mail message and the cleaned file attachment(s) are attached with this notification mail. ------=_GateLock_5E06103F3000_6c0aa061.2ca86a2b Content-Type: Message/RFC822 Content-Disposition: attachment;filename="Message" Content-Transfer-Encoding: 8-bit Date: Wed, 14 Nov 2001 16:11:31 +0900 From: SHIMADA Hiromichi <xxxxx@d-advantage.jp> Subject: xxxxxxxxxxxxxxxxxxxx To: xxxxx@xxxxx.iij4u.or.jp …… 以下略

メールにウイルスが見つかったときの警告メールの例（送信時に検知）

白文字が本文で、灰色の文字がメール・ヘッダなどだ。LAN側のPCからウイルス付きメールを送信してGateLock X200がそれを検知した場合、この警告メールが、メールの送信相手（受信者）に送られてしまう。その一方で、送信したユーザーには何も届かない。ウイルスを送信してしまったユーザーには責任があるので、送信者にすぐ警告メールが送信されるよう改善してほしい（技術的な問題があるのかもしれないが）。

　また後述するように、本機には特定ユーザー（管理者）に対してメールで異常事態を通知する機能があるが、ウイルス検出時にはこの機能が働かない。可能なら、これも出荷時では改善してほしいところだ。

　一方、Webメール（MSN Hotmailのように、Webブラウザ経由でメールの閲覧や送信ができるメール・システム）にウイルス混入ファイルが添付されたメールが届き、それをWebブラウザ経由でダウンロードしようとすると、GateLock X200はそれを検知して警告の画面を表示する。Webメールの添付ファイルをダウンロードする際のURLには特徴があるため、本機を通るHTTP要求とそのURLの特徴的なパターンが合致したらウイルス・チェックを行う、という仕組みになっている。

Webメールにおけるウイルス警告画面

Webブラウザから、Webメールの添付ファイルをダウンロードしようとしてクリックした瞬間にこの画面が表示された。ここでをクリックして、もとのWebメール画面から再度、添付ファイルをクリックすると、ウイルスが駆除されたメールがダウンロードされた。

　注意が必要なのは、実在するWebメール・システムのすべてに対して、この機能が有効ではないことだ。もともとWebメールの実装はシステムごとに大きく異なるため、統一的な対処が難しいからである。現時点で本機が対応しているのは、MSN Hotmail、Yahoo!メール、AOLメールとのことだ。編集部では、このうちMSN HotmailとYahoo!メールで試したところ、後者は上の画面のようにチェックできたが、前者はWebメールのサーバ側にウイルス・チェック機能が組み込まれていたため、ウイルスは検出できなかった（別に本機のせいではない）。

　なお資料によれば、通常はHTTPで11〜14Mbits/sのスループットを発揮するが、Webメールのウイルス検知を有効にすると、3.2〜3.5Mbits/sに下がるという（値はトレンドマイクロによる実測値）。もっとも、筆者がテストした3Mbits/sのCATVと1.5Mbits/sのADSL（いずれも下りの速度）という環境では、その差は体感できなかった。

関連記事（PC Insider内）
連載	ネットワーク・デバイス教科書：第1回 広帯域インターネット接続を便利に使う「ブロードバンド・ルータ」
連載	ネットワーク・デバイス教科書：第12回 ブロードバンド・ルータの基本設定
実験	新世代ブロードバンド・ルータの性能を検証する
実験	ビギナー管理者のためのブロードバンド・ルータ・セキュリティ講座
特集	ブロードバンド・ルータ徹底攻略ガイド

　

関連リンク
トレンドマイクロ	GateLock関連情報のページ
＠IT：ブロードバンド・ルータ動作確認情報局	トレンドマイクロ製GateLock X200の動作実績情報

　
　

INDEX
	［プロダクト・レビュー ］
	ウイルスを遮断できるブロードバンド・ルータ「GateLock X200」（1）
	ウイルスを遮断できるブロードバンド・ルータ「GateLock X200」（2）
	ウイルスを遮断できるブロードバンド・ルータ「GateLock X200」（3）

　

「PC Insiderのプロダクト・レビュー」

＠ITメールマガジン　新着情報やスタッフのコラムがメールで届きます（無料）