「ローカルの目」で地域密着型対処、トレンドマイクロが国内ラボ設立

トレンドマイクロは日本国内での能動的な情報収集／分析を行う機関として、「リージョナルトレンドラボ」を開設し、稼働を開始した。

[ITmedia]

　トレンドマイクロは5月22日、日本国内での能動的な情報収集／分析を行う機関として、「リージョナルトレンドラボ」を開設し、稼働を開始した。不正プログラムに関する情報収集に当たるほか、必要に応じて、オフィシャルパターンファイルに先立って特定のウイルスを検出する「バンテージパターン」の作成も行う。

　同ラボの人員は約20名。フィリピンに開設されているTrendLabsがグローバルで共通な不正プログラムや不正URL情報の収集、オフィシャルパターンファイルの作成などを行うのに対し、リージョナルトレンドラボでは、日本地域に密着した不正プログラムや情報収集と、それに基づく対策提供を行う。

トレンドマイクロの新宿本社内に置かれたリージョナルトレンドラボ

　「不正プログラムの検体や接続先のWeb情報の収集活動はグローバルにも行っているが、日本国内にも網を張り、どんどん情報を集めていきたい」（トレンドマイクロ日本代表の大三川彰彦氏）

　ラボ開設の背景には、脅威の変化が挙げられる。大三川氏によると、2006年はかつてのCodeRedやSlammerのような、グローバルな大規模感染は報告されなかった。だが、検出数自体は増加している。金銭や価値ある情報の取得を目的に、特定の対象を狙い打ちにするターゲット・シーケンシャル攻撃が増加しているからだ。

　「今どきは、『ラブレター』などが送られてきても、誰もそんなものは開かない。しかし、2006年3月に発生した、公正貿易センターからの配信を装ったウイルスメールでは『対日アンチダンピング情報』といった具合に、旬な時期に旬な情報のメールが送られてきた。こうなるとどうしてもそれを開いてしまい、トロイの木馬などに感染してしまう」（大三川氏）

トレンドマイクロ日本代表の大三川彰彦氏

　こうした攻撃に対処していくには、従来のパターンファイルに基づくソリューションでは限界があると判断。地域密着型の情報収集／解析拠点として、同ラボを開設するに至ったという。

　リージョナルトレンドラボでは、3種類の方法で情報を収集する。1つは、悪意あるWebサイトを定期的に巡回し、不正プログラムの検体を収集する「Web threat Crawler」。2つ目は、WinnyやShareなど、日本特有のP2P型ファイル共有ネットワークで流通している実行形式のファイルを収集する「P2P Crawler」。もう1つは、仮想マシンの上で不正プログラムを動作させ、どういったURLにアクセスし、どのようなプログラムを追加でダウンロードするかなどを観察する「Honey Client」だ。こうした手法で収集したデータの統計を取り、可視化していくことも進める。

　トレンドマイクロでは2月にリージョナルトレンドラボ開設の意向を発表して以来、試験的に運用を行ってきた。これまでに、ジャストシステム「一太郎」の脆弱性を狙うマルウェアのほか、アニメーションカーソルの脆弱性、DNSの脆弱性を狙う攻撃などを検出、対応を支援してきたという。

　「グローバルプラスローカルの目によって、複数の亜種に対応できるジェネリックな検出を実現し、URLデータに基づく連鎖攻撃を絶っていきたい」と大三川氏。パートナー各社が提供するマネージドサービスとの連携も視野に入れているという。