今日は残業無し!と言うのも今日は通院だったからだ。まだやりたいこと、というか調べないといけないことがあったが、来週にまわした。まあいいや。
今日は久々にGメンをやった、というかやらされた、というか、なんというか。リアルタイムで監視しているのとは別に外部の業者に監視してもらい、不正な通信を毎日レポートしてもらっているのだが、それにBitTorrentとうP2Pアプリの使用らしき報告があったのだ。リアルタイムの監視システムではalertが出ていない。なんでだろう。
とりあえず調べた。IPマスカレードで変換されたSrcIPとDstIPからファイアウォールのログを辿って変換前のプライベートアドレスを割り出し、そこからコアスイッチにログインしてarp情報からMACアドレスを割り出し、通信先のエッジスイッチのarp情報からポートを割り出し、ポートがわかればどの居室のどの情報コンセントかまで特定できる。
と言うのは全部SEさんがやってくれた。その時間帯の通信ログを確認したところ、確かに少し怪しい挙動はあるものの、P2Pとは断定できないような感じ。
とりあえずGメンとして居室に行ってみた。そこには一人しかいなかったが、協力してくれて、どのPCかはわかった。本人は今日は休みだったが、PCは起動しっぱなしだったので、その居室の人の許可を得てPCを見てみたが、BitTorrentも他のP2Pソフトも入ってない。
ひょっとしたまたか〜?実は先週もあったのだが、ファイルを高速にダウンロードできるソフトで、内部的にBitTorrentクライアントを使って実装されているものがあるのだ。「そういうものを使ってたりしませんか?」と尋ねたところ、「ああ、彼なら使ってそうです」との答え。
今日は本人もいないし、とりあえあずその場を後にした。来週本人が来たら、どういうソフトを使っているか確認して、自分たちでも再現実験をしてみよう。
そしてリアルタイムで監視している方が検知しなかった理由。これが見えてきた。こちらのRulesでは、BitTorrentらしきパターンでも、そのようなアプリ内の通信だということを判別して、alertは出さないようにしているのかもしれない。
ということで、なんだかくたびれたよ、今日は。病院はすいているように見えていて実は混んでいて、全部終わったら20時半。なんかだるくて、それから卓球に行く気もなく、帰ってきた。土日はゆっくり休もう。
