Internet Watch logo
記事検索
最新ニュース

IPA、未知ウイルス検出手法のプロトタイプを模擬実験


 情報処理推進機構(IPA)セキュリティセンターは21日、「未知ウイルス検出技術に関する調査」の報告書を公開した。現在のウイルス検出技術を調査・分析するとともに、その結果をもとに新たな検出手法のプロトタイプを提案。有効性を評価するため、実際にウイルス検体を用いて模擬実験を行なった。

 報告書は、IPAの2003年度の公募事業の1つとしてまとめられたもので、北陸日本電気ソフトウェアが調査を実施した。調査ではまず、公開されている技術情報や論文、特許などウイルスの検知技術に関する文献を収集。ウイルスの検知手法を、定義ファイルなどによる「パターンマッチング法」、ウイルスの実際の挙動を動的に解析する「ビヘイビア法」、ウイルスの挙動を静的に解析する「ヒューリスティック法」、デジタル署名でファイル内容の変化を検出する「インテグリティチェック法」など6種類に分類した。現在はパターンマッチング法が多く用いられている一方で、最近ではビヘイビア法に関する文献が多数公開されており、最も注目されているという。

 ビヘイビア法について報告書では、「検査対象プログラムを動作させ、その挙動を監視することにより、そのプログラムが実際に行なう危険な行為を検出し阻止することのできる、最も本質的な検出手法であるといえる」と指摘。この手法と、「既知ウイルスの検出技術として歴史的蓄積のあるパターンマッチング法を併用することが、ウイルス対策システムの主流である」と述べている。

 報告書ではまた、侵入検知の手法についても調査しており、「ネットワークを徘徊するワームに関しても、ネットワークベースのビヘイビア法が有効であることを確認した」。ただし、ウイルス対策のワクチンと侵入対策のファイアウォールは、「連係して動作するようになっていても実体は別々の製品であることが多い」と指摘。これらを「より密に連係・統合することでより効果的なシステムが実現できる可能性がある」と述べている。報告書には、Web上で公開されている技術情報のURLをはじめ、収集した文献がリストアップされている。


 続いて報告書では、セキュリティホールを突いて侵入するウイルス(ワーム)が問題となっている点をふまえ、これを検出する手法のプロトタイプを設計した。プロトタイプは、セキュリティホールを突くために使われるポートを監視し、そのポートに何らかのデータが送られてきた時点から、OSのシステムなど特定のディレクトリの監視を開始。ファイルの削除や変更、リネームなどを検出すると、ユーザーに危険を通知するものだ。

 模擬実験では、プロトタイプによる検出プログラムをWindows仮想マシンで動作させ、CodeRedやKlez、Sobigなどのウイルス11種(20亜種)を用いて検出率を測定。その結果、検出できたのは「W32/Nachi.worm」「W32/CodeRed.worm.c」「W32/Klez.gen@MM」「W32/Nimda.s@MM」など5種(8亜種)のみだった。残る12亜種のうち、「W32/Klez.e@MM」「W32/Nimda@MM」「W32/Sobig.a@MM」など10亜種は侵入動作を検出できなかったほか、メール添付により拡大する「W32/Hybris.gen@MM」と「W32/Sobig.f@MM」については予備調査段階で検出不可能と判断されたため、データは採取しなかった。なお、検出できたものについては、検出率は100%だったという。

 実験結果を受けて報告書では、1)メール添付で感染を広げるなど、特定ポートへのアクセスを伴わないウイルスには向かない、2)監視対象とするディレクトリの設定が検出精度に影響する、3)侵入した時点でファイルを生成せず、メモリ内でのみ活動するSlammerなどのウイルスには対応していない──といった課題を挙げている。ただし、セキュリティホールが発見されてからパッチが提供されるまでの間、未知ウイルスを検出できるという点で意義は大きいとしている。


関連情報

URL
  ニュースリリース
  http://www.ipa.go.jp/security/fy15/reports/uvd/index.html


( 永沢 茂 )
2004/04/22 19:37

- ページの先頭へ-

Internet Watch ホームページ
Copyright (c) 2004 Impress Corporation All rights reserved.