[port139:00527] Re: 日経 ITPro の記事

[Sonoda Michio <sonoda_michio@xxxxxxxxxxxxxxxx>]

園田です。

>ファイルのチェックを行うのであれば、やはりオフラインで別のファイルシステムに
>>てマウントし、そこからチェックすることが最善ではないでしょうか。
>
>あとは再インストールというのが銀座で出た結論でしたね（笑）
>あ、B2 レベルの OS を利用するという案も出てましたか。
>
>でもまだ懲りずに rkdet とか調べてたりして...(^^;;

やられたモノを調べる事後処理とは別のアプローチですが、そもそもOSに詳細なログ 
を吐き出させて確かめたり、ファイルに対するアクセスを監視したりする予防的措置 
というのもありますよね。
わたしのところで実は
http://www.ashisuto.co.jp/prod/cai/acx/
を使っていたりするのですが、詳しい原理は特許？とかで教えてもらってないんです 
けど、おそらくLKM的な監視・アクセスコントロールを行っているようです。時間が 
無くてまだ本格的に使い込んでいないのですけど。
また、OSのログを詳細に取る仕組みには、例えばレベルはC2と言われるSolarisの 
BSMとかもありますよね。BSMのログとかも、シスログなどと同様書き換えされてしま 
ったら終わりですけど、シスログなどと違って気が付かれない可能性が高いかも知れ 
ないですね。オカネかかりますけど、この機能を利用したRealSecureのOS Sensorだ 
とか、CyberCOPを入れるとかでリアルタイムに近い検知が可能ですし。
-- 
園田道夫
株式会社アイ・ティ・フロンティア（旧三菱事務機械株式会社）
TEL:03-5611-5878  FAX:03-5611-5893
http://www.mom.co.jp/sec/