Internet Watch logo
記事検索
イベントレポート
【 2009/06/12 】
ひろゆき氏&夏野氏が講演「日本のネットは決してダメじゃない」
[18:57]
携帯ゲーム機のような見た目のNGN対応回線品質測定器
[14:28]
ISAO、IPデータキャストを利用したサービスイメージを展示
[11:33]
【 2009/06/11 】
アナログ停波後の周波数帯域を利用したマルチメディアサービス
[18:50]
日テレが「ニュース検索API」などを紹介、国内の地上波放送局初
[18:36]
UQ Com田中社長、高速&オープン志向「UQ WiMAX」のメリット語る
[17:45]
主催者企画コーナーでは「ServersMan@iPhone」のデモも
[11:13]
国内初のデジタルサイネージ展示会、裸眼で見られる3D映像など
[11:12]
【 2009/06/10 】
CO2排出量が都内最多の地域、東大工学部のグリーンプロジェクト
[20:01]
IPv4アドレス枯渇で「Google マップ」が“虫食い”に!?
[19:29]
UQ Com、7月の有料サービス開始に向けて「UQ WiMAX」をアピール
[19:20]
「Interop Tokyo 2009」展示会が開幕、今年はひろゆき氏の講演も
[14:53]

価格.com改竄事件、NOD32だけがウイルスを検知したのはなぜか


 5月に発生した価格.com改竄事件で、Webサイトに仕込まれたウイルスを当初から検知できたウイルス対策ソフトはキヤノンシステムソリューションズが販売する「NOD32」だけだった。「Virus Conference for Enterprise 2005」で、キヤノンシステムソリューションズの高本勉部長(セキュリティソリューション事業部第二技術部)がNOD32について解説した。


強力なヒューリスティック機能が未知のウイルスを検知

キヤノンシステムソリューションズの高本部長
 まず、価格.com改竄事件を振り返ってみよう。キヤノンシステムソリューションズによると、カカクコムが事件を公表した5月15日に先立つ10日に、NOD32ユーザーから「数社のWebサイト閲覧時にウイルスの可能性があると警告された」という報告を受けていた。その後、NOD32の開発元であるスロバキアのEsetにサンプルを送付。11日にはサイトからダウンロードされるウイルスが「TrojanDownloader.Small.AAO」と「Win32/PWS.Delf.FZ」と定義された。なお、TrojanDownloader.Small.AAOは2004年11月30日にNOD32の定義ファイルに追加されていた既知のウイルス。一方、Win32/PWS.Delf.FZは発見当初は未知のウイルスだったという。

 「既知のウイルスを検知できないウイルス対策ソフトが存在することはショッキングな話だ」と高本部長。既知のウイルスだったTrojanDownloader.Small.AAOを、他社製品ではなぜ検知できなかったのか。「考えられる理由は、マイクロソフトのCHMファイルにインポートされていたことだ。このファイルの内部スキャンが十分になされていなかったのではないか。既知のウイルスであっても、圧縮形式やファイル形式によってはウイルス定義ファイルのシグネチャからだけでは判別されにくいケースもある」という。

 未知のウイルスだったWin32/PWS.Delf.FZを検知できたのは、NOD32の「アドバンスド・ヒューリスティック機能」のためだという。ヒューリスティックとは「発見的手法」と訳され、汎用的なアルゴリズムを利用し、未知のコードを解析して「理解」することで不振な挙動を検出する。


NOD32では2つのヒューリスティック機能を組み合わせてウイルスを検出

 この手法はもちろん、トレンドマイクロやシマンテックなどのセキュリティベンダーにおいても研究されており、バイナリ・ウイルスの命令フローやレジスタの値を逆アセンブラ的に追跡する「パッシブ・アプローチ」と、システム全体をエミュレートする「サンドボックス」で解析対象のコードを仮想的に実行し、影響などを判定する「アクティブ・アプローチ」という2種類のヒューリスティック技術が存在する。

 NOD32では、「スタンダード・ヒューリスティック機能」としてパッシブ・アプローチの技術を採用する一方、今回のウイルス検知に効果を示したアドバンスド・ヒューリスティック機能においてはアクティブ・アプローチを採用していた。

 高本部長が自身で調べたところによると、ウイルス定義ファイルなしのNOD32でヒューリスティック機能のみを使用して(事実上の未知の)ウイルス381種類を検知したところ、スタンダード・ヒューリスティック機能では24.1%にあたる92件、アドバンスド・ヒューリスティック機能では64.0%にあたる244件、合計88.1%(336件)を検出した。スペインのセキュリティベンダーであるHispaSec Sistemasによる同様の調査でも他社が軒並み苦戦する中、NOD32が88%の検知率を誇ったという。

 高本部長は、「ヒューリスティック技術は実用的ではないと批判する人もいるが、正しく実装すれば効果を挙げられる。ウイルスが日々出現する現状では、ベンダーにおいてもそれぞれの定義ファイルを作っている時間的な余裕もない。未知のウイルスに対しては、定義ファイルができるのを待つよりも、まずウイルスに感染しないよう的確に検知できることが重要ではないか」とコメントした。


大手セキュリティベンダー各社のヒューリスティック技術に関する取り組み 未知のウイルス検出状況。データ出典:HispaSec Sistemas(Laboratorio - Noticias - Una al dia)
http://www.hispasec.com/......

価格.comにアプリケーションファイアウォールがあれば改竄は防げた

 価格.comの事件でも明らかなように、サイト改竄はインターネット企業にとっては命取りの問題だ。こうした問題を防ぐことはできるのだろうか。「実は防げる。アプリケーションファイアウォールで、HTTPリクエストを調べてフィルタリングし、アプリケーションレベルまでパケットを解析すれば防げたはずだ」(高本部長)。キヤノンシステムソリューションズでも、IIS向けの「SecureIIS Web」や、LinuxとApacheの組み合わせであれば「NGSecureWeb」などの製品を用意している。

 また、企業におけるウイルス対策としては「砦は2つ。ゲートウェイとクライアントPCだ」と指摘。高本部長の考えでは、「ゲートウェイでは、ウイルス対策の負荷を強め過ぎると通常の業務にも支障が出るため、未知のウイルスがある程度すり抜けてしまうのは仕方ない。その代わりクライアントPCで未知のウイルスに対処する」という。このコンセプトでは、ゲートウェイとクライアントPCのウイルス対策に異なる会社の製品を選ぶことが効果的だという。また、欧州、中国、米国、インドなど選択するセキュリティベンダーの地域を考慮することも効果を高めることになるとした。

 将来的には、ゲートウェイでは、インスタントメッセンジャーなどにも対応できる「コンテンツ・セキュリティ・ゲートウェイが確実に必要になる」と指摘。クライアント用の対策ソフトには、既知のウイルスは100%検出し、未知のウイルスの検出率も高いこと、軽快な動作、高速なウイルススキャンなどを要件に提示した。


関連情報

URL
  キヤノンシステムソリューションズ
  http://www.canon-sol.co.jp/

関連記事
「過失はない」としながらも不正アクセスの詳細の言及は避ける〜カカクコム(2005/05/25)
価格.comが一時閉鎖、不正アクセスでトロイの木馬を仕込まれる(2005/05/16)


( 鷹木 創 )
2005/07/27 20:38

- ページの先頭へ-

INTERNET Watch ホームページ
Copyright (c) 2005 Impress Corporation, an Impress Group company. All rights reserved.