ウイルス定義ファイルができるまで、Symantec Security Responseをのぞく

東京・渋谷、シマンテックの本社にはアジア太平洋地域をカバーするインターネットセキュリティ研究所がある。ウイルス定義ファイルを迅速に送り出すための“総本山”の一つだ。

[堀 哲也，ITmedia]

　Symantecはインターネットセキュリティ研究所「Symantec Security Response」の拠点を世界に6カ所構える。そのうちの米国地域のサンタモニカ、アジア太平洋地域の東京、欧州地域のダブリンの3チームがウイルス解析を行い、それぞれ8時間ずつリレー形式で世界中に24時間のサービスを提供している。

　セキュリティの研究や脆弱性情報の収集・分析も任務としているが、インターネット上の脅威が圧倒的にウイルスに偏っている現在、ウイルス解析と定義ファイルの作成がメインの業務になっているという。

扉のサインは旧称のSARCのままになっていた

　フロアの一角に設けられたラボでは、ウイルスの動作を解析するためのPCサーバなどを組み合わせて作った擬似インターネット環境を設置している以外は、パーティションで区切られる一般的な外資系オフィスと変わらない風景が広がっていた。

ウイルス定義ファイルの作成はほぼ自動化

　解析の発端となるのは、ユーザーからの調査依頼がほとんど。同社のウイルス対策ソフトは、ウイルスの疑いのあるファイルをインターネット経由でSecurity Responseに直接届出を行える機能を備えており、ここから多くの情報が集まってくる。Security Responseの星澤裕二マネジャーによれば、1カ月で15万〜20万件の届出があり、このうち70％程度がウイルスなのだという。

　ウイルス解析から定義ファイル配信までのプロセスの自動化を積極的に進めているものの、同氏は「この届出は年々増える一方で、半年から1年後には倍になるのではないか」と危惧する。今後、自動システムの強化やエンジニアの増強でこの問題をカバーしていく計画だ。

　一連のプロセスを自動化したシステムは、サンタモニカに設置されSARA（Symantec Antivirus Research Automation）と名付けられている。解析から定義ファイルの配信までを1ファイル30分程度で大量に並列処理する能力を持つという。エンジニアの手作業では1ファイルの処理に1時間程かかるというから、それに比べれば格段に早い。

　ただ、SARAで解析できないファイルも5〜2％程度存在する。この分はエンジニアが手作業で解析することになる。「1日あたり250件から350件がマニュアルで処理されている」と星澤氏は話す。

定義ファイル作成までの流れ

　マニュアル解析では、ウイルスが実際にどんな動きをするかを擬似インターネット環境でツールを使ってモニタする「ブラックボックス解析」と、実行形式のファイルをリバースエンジニアリングしてアセンブリの状態で解析する「ホワイトボックス解析」の2手法を併用する。「（ウイルスの中には）特定の環境でしか感染しないものもあり、両方を行う必要がある」ためだ。そのため、ウイルス解析を行うエンジニアにはアセンブリ言語を読めるスキルが求められてくる。

　ウイルスと判定されると、名前付けが行われる。ウイルス命名ルールには現状、業界ルールはなく各社が独自に命名している。シマンテックでは、スラングや性的表現、政治や歴史にかかわる事件や名前、ウイルス作者が自ら名付けた名前は採用しないポリシーを設けている。

　「各社で命名ルールが似通っているため似た名前も多いが、まったくことなる名前がついてしまうこともある。その場合は、混乱を避けるため1週間程度の後、もっとも一般化した名前に変更する」と星澤氏。

　その後、もっとも時間がかかるテスト作業を経て、ファイルとしてデータベース登録される。同社の場合は、LiveUpdate、Intelligent Updater、Rapid Releaseの3種類として配布されることになる。

東京ラボは7人体制

　現在、7人のエンジニアで作業を行っている東京のSecurity Response。一般の外資系オフィスと変わらない一角だが、ここは業務ネットワークと完全に切り離されている。誤ってウイルスを撒き散らすようなことはない設計だ。電子メールを閲覧するなどの作業が必要となるときはKVMスイッチで切り替えて行っているという。

ラボで働くエンジニア

　東京のエンジニアは、8時半に出勤しサンタモニカからの引継ぎの後9時から17時までの8時間ウイルス解析作業などを行い、その後ダブリンへと引き継がれる。