株式会社シマンテックは6月22日、同社がワールドワイドに展開するウイルス解析チーム「Symantec Security Response」に関するプレス向け説明会を行った。
|
株式会社シマンテック Symantec Security Responseマネージャ 星澤裕二氏
|
Symantec Security Response(以下、SSR)は世界で最大規模のインターネットセキュリティ研究機関といえるもの。SSRマネージャの星澤裕二氏は「セキュリティ専門の研究家をこれだけの数かかえているところは官民でもないだろう」と述べた。
SSRの拠点はアメリカ・カリフォルニア州サンタモニカ、アイルランドのダブリン、そして東京の3箇所あり、「8時間の3交代制で土日も含め365日のサービスを提供している」とのこと。東京のチームはUSチームから作業を引き継ぎ、終業前にダブリンに渡している。業務時間内には共有のホットライン、メールボックスにより、国内だけでなくワールドワイドからのサポートを受け付ける。業務時間はアメリカに合わせているため「現在はサマータイムで仕事をしている」という。
その業務内容はウイルスの解析と定義ファイルの作成がメイン。しかし星澤氏は「それが現在インターネットでの最大の脅威なため」とし、SSRがウイルス対策のチームではなくインターネットセキュリティへの対処が主目的と位置づけた。
|
ウイルス解析システム「SARA」がウイルスの届出を自動的に受け付ける
|
|
Sysinternalsの「File Monitor」、「Registry Monitor」のモニタ画面
|
|
東京のSymantec Security Response内に置かれたサーバー。
|
SSRでは、Web、FTPから疑わしいファイルをダウンロードして解析することもあるが、「アンチウイルスソフトから直接送信される届出内容を調べる場合がほとんど」とのこと。
SSRのサンタモニカ拠点には、ウイルスを解析してワクチン生成までを自動的に行うシステム「SARA」が備えられているが、「これで解析できるのは、月あたり約15~20万件寄せられる調査依頼のうち95~98%まで。このため現在は1日250~350件を手作業で処理している」という。
また「この件数は年々増えており、今後、半年から1年で倍になると考えている。そうすれば今後は500件以上をマニュアル処理しなければならなくなる」と述べた。SARAでは現在1ファイルを30分で処理し、並列処理も可能だが、「SARAが処理できる対象の拡張、処理能力の改善、また人員面の増強も早急に行わなければならないと考えている」とした。
SSRの拠点内には、マニュアル解析のために擬似的なインターネット環境が構築されている。そしてSysinternalsの「File Monitor」、「Registry Monitor」、また独自に開発したツールを用いて「届いたファイルによる特定のレジストリ、ファイルへの書き込みといった動きをモニタリングすることで、ウイルスかどうかの判定を行っている」という。
ただ活動にダイアルアップ環境やDNSサーバーを必要とする、また特定の日時以後などの、特定環境下でしか感染しないウイルスも存在する。こうした場合には「実行形式ファイルそのものをリバースエンジニアリングするツールを用いて、ウイルスの細かい挙動を把握している」という。なかには「実行ファイル内の数字の羅列を見ただけで、解析できるエンジニアもいる」とのことだが、ツールではアセンブリレベルにまで解析するため「エンジニアには、アセンブリが読めることが求められる」という。
ウイルスの命名もエンジニアの仕事だ。シマンテックでは「W32」(Win32環境)と、感染する環境を表す接頭辞をつけ、次に名称、最後には@以降に、例えば「@mm」(マスメーラー:大量メール送信型)など、ある程度の動作を表す名称をつける決まりとなっている。ちなみに「Nimda」は管理者権限(Admin)を逆手に取ることからの名称、「Beagle」は感染時に生成されるファイル名(bbeagle.exe)、CodeRedは担当エンジニアが飲んでいた飲み物の名から取られているとのことだ。
アンチウイルスベンダー各社で名称が異なるのは、「各社同時にファイルが届いて、同時に解析しており、他者の名前は解析時点でわからないため」だという。「命名ポリシーが各社間で似ているため、似た名前になることも多いが、全く違うこともあり混乱につながる」とした同氏は、「先に発見されている場合はあわせられる。またニュースなどで他社の名称がメジャーになれば1~数週間遅れで名称を変更することもある」とした。
SSRで作成される定義ファイルには3つの種類があり、検証ポリシーなどによって差があるという。「Rapid Release」は1時間おきにFTPのみで提供されている。これは「ウイルスデータベースに追加したウイルスが見つかるかどうかのみをテストしたもの」。セキュリティに敏感な企業やISPではRapid Releaseの採用例もあるという。
「Intelligent Updater」は、Webサイトで配布されているプログラムを適用するもので、最低でも毎日更新されている。「過去に報告された誤検知がないかなど、いくつかのテスト項目を経ている」という。また通常多く使われている「LiveUpdate」は、最低週1回更新されるもので、これもIntelligent Updater同様のテストを経て提供されている。
このほかWebに掲載される情報、同社の有料サービス「DeepSight」へ向けたウイルス情報の執筆もSSRが担当している。DeepSightは企業の管理者など向けて配布されているため、「OSの細かいバージョンなども詳細に」、また「Webに掲載しては混乱を招いたり、悪用のおそれのあるような、例えばDoS攻撃での対象IPやURL、ウイルスが個人情報を送信する先のメールアドレスなど、解析情報のすべてを提供している」とのことだ。
なおSSRでは東京を含む3拠点ともに、すべてのサービスを英語で提供しており、同社サイトに掲載されている日本語情報は「日本オフィスで翻訳されたもの」だという。
最後に同氏は最近のウイルス動向に触れた。「ウイルスも幅広くなり、従来の定義では分類が難しいものもある」とし、Sasser、Blasterに代表されるセキュリティホール攻撃型、感染PCにファイルを作らず、現在のアンチウイルスでは検知できないCodeRed、Slammerを代表とするファイルレスまたはメモリインジェクション型、そして1999年頃から広まり始め、現在でも拡大を続けている大量メール送信型に分類できるとした。
|
ウイルスの感染スピードは加速する一方だ
|
次にSMBやCIFSプロトコルを利用し、ファイル共有サービスを通じて感染するタイプや、メッセンジャーやチャット、P2Pを介して感染するタイプなどを挙げ、「メールでの対策は進んでいるが、P2Pなどはまだまだ対策が進んでおらず、今後は課題になっていくだろう」との考えを示した。またドキュメントやキーロガーによる情報を送信するタイプの情報漏えい機能を持つウイルスについても注意を促した。
同氏は、「現在では自動化による対策が進んでいるが、事前に脆弱性のあるIPのリストを作って、そこに攻撃するWarhol型のウイルス、また数秒で感染が広がるとされるFlash型ウイルスといったコンセプトもすでに研究段階では提示されている」ことに触れ、「事前にインターネット状況を把握して、例えば特定ポートへのアクセス増加を検知したらポートを閉じるなどの事前対策がますます重要になっているだろう」とした。
■ URL
株式会社シマンテック
http://www.symantec.co.jp/
Symantec Security Response
http://www.symantec.com/region/jp/sarcj/
( 岩崎 宰守 )
2004/06/22 19:41
|