変わる脅威、変わるセキュリティレスポンス(2/2 ページ)
アイルランドの首都ダブリン――Symantecはウイルス解析や定義ファイル作成を行うSecurity Responseを設置している。世界3カ所あるSecurity Responseの中でも最大規模の施設を訪ねた。
進むウイルスのモジュール化
ウイルスのモジュール化も作業を複雑にしている要因の1つだ。従来は単純に検体をコードベースで解析すれば定義ファイルを作れたが、モジュール化により接続先のURLやIPアドレスをたどり、ダウンローダーの先の検体をさらに入手するといった手間が増えている。
ボットであれば、その動作を調べるため、ハッカーがどのような命令を送ってくるか監視を行う必要もある。ボットをそのまま利用しては、ほかのボットと同様攻撃に参加してしまうことになるため、シミュレートを作成し、コマンドが送られてくるのを監視する。
解析を行っていたチーフリサーチャーのエリック・チェン氏によると、MS06-040の脆弱性を悪用して感染を広めたIRCチャネルの「Worgbot」の例では、「スパムを送信するためのスパムプロキシーが送られてきた」という。
「Worgbotが使えるコマンドを調べれば、その性能は把握できる。しかし、監視しなければ、どのような使い方がされるのかは分からない」。
Worgbotのケースでは、1台の感染PCが1時間で約6000通のスパムメールを送信することができたという。しかも「医薬や住宅リースなど、このボットには多くの顧客がいることも分かった」。
1日20〜30件の分析を行う
定義ファイルを作成するウイルス解析のエンジニアは、1日で約20〜30件の不審なファイルを調査する。防御の方法を調べるための分析から始まり、数分から10分程度で終える。その後、システムへの影響度などの詳細な分析を20分、長ければ2〜3日掛けることもあるという。
解析エンジニアが作成した定義ファイルは、誤検知なく正常に動作するかをQAチームがテストし、ラピッドリリースや、1日1回のライブアップデート/インテリジェントアップデートとしてリリースされていく。
ただ、スピア型の攻撃は、悪用される脆弱性は異なってもトロイの木馬やバックドア自体には既存のものが利用されることが多いという。「十分に汎用性を高めた定義ファイルを作成することで、多くをカバーできる」とホーガン氏。
スピア型の脅威は世界のどこで起こってもおかしくないが、攻撃にさらされる人の数は少ないため、カテゴリー2にレベル分類されてしまうという実際との隔たりもある。「長期的に見たインパクトはスピア型の方が大きいかもしれない」(チーフリサーチャーのチェン氏)。
現在では、ユーザーに危険度を知らせるカテゴリーの分類方法について社内で見直す議論も行われ始めているという。
関連記事
- ハッカーを超えるアイデアを考えること――20歳代ウイルス解析エンジニアのやりがい
キャンディッド・ウェスト氏はSymantec Security Responseのウイルス解析エンジニアになって3年。やりがいは「ハッカーを超えるアイデアを考えることだ」という。 - スパイウェア、ボット、ルートキット……各種マルウェアの蔓延を許したIEのセキュリティホール
- どっちを選ぶのが賢い? ウイルス対策ソフトとスパイウェア対策ソフト
スパイウェアは、個人だけでなく企業にとっても見過ごせない大きな脅威となり始めた。スパイウェア問題の基礎と最新動向を知り、企業が行える対策を考えていこう。 - 問題は根深い、スパイウェアのビジネスモデル
スパイウェアを使った金銭詐欺が広く認識されるようになった。その背後には、複雑なビジネスモデルが取り巻いている。スパイウェアの定義を整理し、スパイウェアが活発化する理由を知っておこう。 - マニラに集積するトレンドマイクロの知能――Trend Labs
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.