通信隠ぺいソフト「Tor」の企業内リスク、パロアルトが注意喚起

　パロアルトネットワークス合同会社（以下、パロアルト）は25日、同社が国内企業や組織を対象に実施したアプリケーション利用分析の調査で、PC遠隔操作事件で通信ルートを隠ぺいする目的で使用されたアプリケーション「Tor（The Onion Router）」が、220の調査対象のうち、22の企業や組織で使用されていることを確認したと発表した。

　Torは使用すると通信ルートを追跡するのが非常に困難になることから、組織内のPCを踏み台とした外部へのなりすまし行為の可能性や、機密情報の漏えいにもつながる恐れが懸念されるソフトウェア。

　今回の調査は、2012年4月～10月までに実施されたもので、その結果、220の調査対象のうち、22の企業や組織で使用されていることが判明したため、同社では各企業のIT管理者は改めて自社内のセキュリティ対策状況を確認するよう呼びかけている。

　推奨する対応策としては、Torを利用しているユーザーがいる可能性があるかどうか、プロキシやURLフィルタリングのログをチェックし、Torのダウンロードサイト「www.torproject.org」がないかを確認。

　また、Tor通信の特徴から推測する方法として、TCP 9001番ポートあての通信が特定送信元アドレスから短時間に多く出ていないかチェックする。（ただし設定などによりこの値は変化しうるため、必ずしも9001番の使用がTorとは限らない）。

　「www.4bcscuza6mdy6qz6h3knc4.com」や「www.scl2pu2dheqxv3kmfi72b5l.com」など、ハッシュ値のようなドメインあての通信が数分の間に複数回連続で特定送信元アドレスから発信されていないかチェックする、という方法を紹介。

　その上で、これらはあくまでもTor通信の特徴からの推測であるため、完全に検出するには次世代ファイアウォールによるアプリケーション識別が必要としている。