未知のマルウェアに対抗する国産技術を展開へ、FFRの鵜飼氏：クライアント版から提供

ヒューリスティック（振る舞い）技術を利用した国産マルウェア対策製品をフォティーンフォティ技術研究所が開発した。Winny研究家でも知られる鵜飼社長に特徴や展開を聞いた。

[國谷武史，ITmedia]

鵜飼氏

　フォティーンフォティ技術研究所（FFR）は、このほど「ヒューリスティック（振る舞い）検知」技術を利用した国産のマルウェア対策製品「yarai 2009」を開発した。Winnyの脆弱性発見などセキュリティ研究者としても知られる鵜飼裕司社長に特徴や今後の展開を聞いた。

　yarai 2009は、ウイルス定義ファイルに依存せず、マルウェア独特の挙動を検知・分析することでコンピュータを保護する。特に未修正の脆弱性を狙う「ゼロデイ攻撃」やインターネットを通じて感染を試みる「ドライブバイダウンロード」といった近年主流となっている攻撃への対処を目的にした。

　鵜飼氏は、「新種マルウェアの発生件数が激増し、従来の対策技術では防ぐのが難しくなりつつある。定義ファイルが提供されるのを待つよりも、マルウェアに共通する悪意のある挙動を捉えることで、システムを保護することを目指した」と話す。

　yarai 2009では、「ZDPエンジン」「Static分析エンジン」「Sandboxエンジン」「HIPSエンジン」という4つの検出エンジンを使用して、マルウェアの実行を阻止する。まず、ZDPエンジンではゼロデイ攻撃やドライブバイダウンロード型で感染を試みるマルウェアの挙動を検知、駆除する。次にStatic分析エンジンでは、PE解析やリンカー解析、パッカー解析などの手法を用いてZDPエンジンを逃れたマルウェアを検知・駆除する。この段階で未知のマルウェアを90％以上の確率で阻止できるとしている。

　2つのエンジンでの検知できない場合は、Sandboxエンジンの仮想環境でマルウェアを実行させて詳細に挙動を解析し、マルウェアの場合は駆除する。Sandboxエンジンでも解析できない場合は、最終的にHIPSエンジンでマルウェアの動作として特徴的な外部サーバへの通信や不審なAPIの呼び出しなど監視し、実行を中止させる。HIPSエンジンで駆除すると以前の状態へ自動的に復旧させて、万が一マルウェアに感染しても被害の発生を防ぐう。

　最近のマルウェアには、OSのシステムの復元機能やウイルス対策ソフトウェアの更新を無効にするなどの機能を持つものあるが、yaraiでは設定変更を手動で行うため、マルウェアによる変更をできないようにした。

PDFファイルに偽装されたマルウェアを駆除するデモ。検知ロジックの開発では1990年代以降に発生したマルウェアの特徴を徹底的に研究したという

　ヒューリスティック検知技術のメリットについて、鵜飼氏は未知のマルウェアへの迅速に対処する以外にも、システムへの負荷やユーザーによる管理の手間を軽減できる点があるという。

　「定義ファイルを利用する場合はメモリやCPUへの負担が大きく、ユーザーの生産性にも影響する。また、最近では定義ファイルが数分ごとに更新されるようになり、最新版を常に適用し続けなければならない」（同氏）。なお、yaraiでも新手の脅威に対抗する解析技術の追加や不具合対応などのために、数カ月に1回程度はアップデートが行われる予定だ。

　yaraiでは定義ファイルには依存しないながらも、鵜飼氏は現時点ではマルウェア対策として既存のウイルス対策製品の併用を推奨している。「過去のマルウェアを確実に駆除できる点で定義ファイル対応型製品も利用していただきたい」（同氏）。シマンテック、トレンドマイクロ、マカフィーの製品とは動作検証を終えている。

　同社では「Origma」という独自のマルウェア検体収集システムを利用して、新種マルウェアを収集している。ウイルス対策ベンダー数社とも相互に検体を提供し合う予定で、今後の検知精度の向上に役立てていくという。

　このほど発売したyarai 2009は、Windows XP／Vistaの32ビット版に対応したクライアント向け製品となっている。今後はサーバ向けやゲートウェイ向けにも開発を進める予定。今秋にはクライアントPCのyaraiを一元管理するためのツールも投入し、企業での本格的な運用環境に耐える製品ラインアップを整備する。また、yaraiを構成する4つのエンジンはそれぞれ独自に機能させることもできるため、OEM供給なども視野に入れている。

　鵜飼氏は、「従来の対策技術に捉われない柔軟性の高い対策技術の実現に注力したい」と話している。

過去のセキュリティニュース一覧はこちら