|
Security ResponseのあるダブリンのSymantecオフィス
|
|
Symantec Security Responseのシニアマネージャ、ケヴィン・ホーガン氏
|
米Symantecのアイルランド法人であるSymantec Ltdは、ダブリンにあるインターネットセキュリティ研究施設「Security Response」を日本の報道陣に公開。全世界のウイルス対策チームを統括する、Symantec Security Responseのシニアマネージャ、ケヴィン・ホーガン氏らが、同所での業務内容やSymantecのマルウェアに対する取り組みなどを説明した。
ダブリンにおけるSymantecの拠点は、中心部から車で30分程度の郊外に位置しており、各種対策チームなどが設けられている。ホーガン氏が統括するウイルス対策チームもその1つで、ダブリンの同チームは現在58名が在籍する大所帯だ。ウイルス対策チームの主な業務は、ウイルス、スパイウェアなどファイルベースの脅威を分析してその対策を行うこと。検体として送られてくるマルウェアを解析し、それが未知のものだった場合は、ウイルス定義ファイルの作成を行っている。
セキュリティベンダでは、タイムゾーンごとに対応チームを設けて24時間体制で脅威に対応することが普通。Symantecでも、1日を8時間ずつ3つのタイムゾーンに分け、東京、米サンタモニカのSecurity Responseとともに24時間365日の体制で、マルウェア対策をカバーしている。また「(ほぼ日本のみで流行している)ANTINNYに一番詳しいのは東京のチーム」(ホーガン氏)というように、Security Responseごとに担当地域を持ち、その地域に特有の事象に関して、力を注いでいるという。特定の地域・企業・ISPなどを狙い撃ちにする「スピア型」の攻撃が増えているとあって、後者の役割も決して小さいものではない。
マルウェアの分析からパターンファイル作成にかける時間は、通常は数分~10分程度。単純にその1つだけを検知するだけならもっと短くて済むものの、多少変えた程度の同じ系列の亜種もあわせて検知できるように、また間違って正常なファイルを検知しないように、慎重に行われる。
|
エンジニアのキャンディッド・ウェスト氏
|
解析にあたっては、「15種類のツールを用いて、検体をリバースエンジニアリングしていく」(エンジニアのキャンディッド・ウェスト氏)。APIをモニタリングするツールでマルウェアの挙動を監視するほか、場合によってはデバッガなどのツールを用いてコードに直接あたっていく。
こうして作成された定義ファイルは、エンジニア自身やツールによるテストの後、テストチームにファイルが渡され、人手によるテストが行われる。ここでは、サンプルを確実に検知できるかどうかの再チェックに加え、コードレビュー、正常なファイルの誤検知がないかの確認、ウイルス対策チームが命名したマルウェアの名称がルールにのっとっているかの確認などが行われ、すべてをパスした後にようやくリリースの運びとなる。この過程を経たものが、Live Update/Intelligent Updateとして1日1回配信される。
このほか、テストチームによるテスト過程を省いた対応スピード優先のラピッドリリース版も、対応を急ぎたい顧客に提供される。最終テストを経ていないとはいえ、「問題が起きたのは今までで3回だけ」(ホーガン氏)と、品質の高さを強調していた。
また最近のマルウェア、特にトロイの木馬などでは特定のWebサイトに情報を送信するものが多くなっているため、送り先のURL、ポート、IPアドレスなどを調べあげ、顧客がゲートウェイのファイアウォールなどでブロックするための情報として提供している。
なおウイルス定義ファイル作成にあたっては、前述のようにユーザーから送られてくる検体を元にするが、Symantecでは「ユーザーが多いので、検体入手では競合ベンダよりも優位」(ホーガン氏)な立場にあり、月に20万~25万件程度が送られてくる。
ただし最近ではスピア型の攻撃が増えており、「攻撃対象が限られていることから、検体の入手が以前よりも困難になっている」(ホーガン氏)とのことで、以前よりも収集に力を入れているという。なぜなら、検体を入手しないとそのマルウェアに対する確実な対策が取れないため、特定の企業・組織に向けた、ある特定の挙動をするボットなどのマルウェアが、ウイルス対策ソフトを使っていても検出できずに、そのまま動き続けるということも出てきてしまうからだ。
そこでSymantecでは、ハニーポットを設けたり、ターゲットにされた顧客企業から入手したりするなど、自力での入手に努める一方、ウイルス対策ベンダ同士の横のつながりで入手する仕組みも活用しているとのことである。
|
|
Symantecオフィスの内部。Security ResponseはYellow Zoneに位置している。天井はさまざまなパイプが走っており、さながら工場のよう。それもそのはず、もとは3comの工場だったという
|
おしゃれなカフェテリアも設けられている。ほっと息をつける空間だ
|
|
|
外部へのマルウェア漏出を避けるため、Security Response内部は外部ネットワークと隔離されており、従業員は内部からKVMスイッチを経由してこのラックのPCを操作する。内部には解析専用のネットワークが別に構成されているのだ
|
Security Responseの内部。見かけは普通のオフィスと変わらないが、日々マルウェアとの戦いが行われている
|
■ URL
米Symantec
http://www.symantec.com/
シマンテック株式会社
http://www.symantec.co.jp/
( 石井 一志 )
2006/09/22 00:00
|