Internet Watch logo
記事検索
最新ニュース

シマンテック、日本におけるウイルス解析ルームを公開

〜Symantec Security Response星澤氏がチームの体制などを説明

 シマンテックは22日、報道関係者向けの説明会を開催し、Symantec Security Responseマネージャの星澤裕二氏がSecurity Responseチームの活動状況など、シマンテックのウイルス対策環境を説明した。


Symantec Security Responseでは、ウイルス解析や未知のウイルス研究を推進

Symantec Security Responseマネージャの星澤裕二氏
 Symantec Security Responseは、現在世界6カ所において、24時間365日体制で情報を提供している。サポート体制は、東京、米国サンタモニカ、アイルランド・ダブリンの3カ所で、8時間ずつの時差対応しているという。

 それぞれのSymantec Security Responseでは、ウイルス解析のほか、脆弱性情報などの情報解析、未知のウイルスに対する研究などを行なっている。6月14日頃に発見されたSymbian OSを搭載した携帯電話に感染するウイルス「Cabir」発生時にも、すでに研究していたため、即座に対応できたとしている。


1カ月15〜20万件の新種ウイルス届出に対応する

 シマンテックでは、1カ月に15〜20万件におよぶ“ウイルスと疑われている届出”を受けつけているという。これらは、法人の検疫サーバーや個人からシマンテック宛に送信され、SARA(Symantec Security Research and Automation)が受け付ける。

 SARAは受け付けた“ウイルスと疑わしきファイル”を自動解析し、新種ウイルスだと判断した場合には、そのウイルスに対応した定義ファイルを自動作成する。これは、受け付けてから約30分程度で作成可能だという。また、人間が分析・作成した場合には、分析はツールで自動的に行なうため、かかる時間は同じだが、定義ファイルの作成が手動となる。自動より時間がかかり、おおよそ1時間程度で分析から定義ファイルの作成までが行なえるとしている。


ウイルスは、モニタツールとリバースエンジニアリングで解析

 届出の内、SARAで自動的に解析・対応可能なのは95〜98%となっており、残りの2〜5%は自動解析ができないために人間が対応する。人間が対応する場合には、「ブラックボックス」と「ホワイトボックス」という2種類の行程が用意されており、それぞれを実施してウイルスを分析するという。

 ブラックボックスとは、PC内に疑似環境を作成し、実際にウイルスを動かして分析する手法。ウイルスが動いている間、レジストリを監視する「レジストリモニター」と、ファイル操作を監視する「ファイルモニター」という2種類のツールを利用し、「ウイルスがどのようなファイルを作成し、レジストリを改変するか?」を分析する。

 次に、ホワイトボックスを実施する。ホワイトボックスは、ウイルスをリバースエンジニアリングして解析する手法で、特定のツールを用いて、アセンブリ言語にする。エンジニアは、リバースエンジニアリングされたアセンブリ言語を解析し、ウイルスの細かい挙動を分析する。ブラックボックスでも、ウイルスのある程度の挙動は確認できるが、特定の環境下でしか発生しない挙動などは、ホワイトボックスで解析する必要があるという。


ウイルスの命名は難しい

 ウイルスの命名は、新種ウイルスを発見後、ウイルス定義ファイル作成時にエンジニアが社内ルールに従って行なう。シマンテックでは、「W32」といった接頭辞、「Bugbear」などといった名前、「@mm」などの接尾辞の3部分から成っている。接尾辞の「@mm」の意味は“大量メール送信型”という意味で、そうでないウイルスには付かない。

 名前は、スラングや性的表現、政治や歴史に関わるものは避けるほか、ウイルス作者が自ら付けたものは採用しないといったルールも存在する。ただし、各ウイルス対策ベンダーは、ほぼ同時刻にサンプルを入手・解析し、別々のルールに沿って命名するため、名前が全く異なるケースも多い。「時間との戦いであるため、しょうがないと考えている。最近では、有名になった名前に発見から1週間程度で統一する傾向もある」(星澤氏)と事情を説明した。


東京のResponseチームは7人体制で活動。実験環境も用意

 続いて、星澤氏は東京のSymantec Security Responseの部屋を紹介した。部屋内はインターネットからは隔離されており、ウイルスの解析を行なっている。WindowsマシンなどさまざまなプラットフォームのPCが用意されているほか、サーバー環境なども備えており、さまざまな実験が可能だ。ウイルスの実験などを行なうため、メールなどを読む場合には、別の部屋に用意されたマシンを操作して閲覧するのだという。

 現在、東京では7人体制で対応しているが、ユーザーからの問い合わせに対応する部隊は、ほかに存在すると説明した。


東京にあるSymantec Security Responseの部屋。想像していたより小ぶりの部屋だった 部屋に用意されている実験用PCやサーバー群。さまざまなプラットフォーム、バージョンが用意されており、実験することができるという

関連情報

URL
  シマンテック
  http://www.symantec.co.jp/

関連記事
1日4億件のアラートをアナリストが分析する場所〜SymantecのSOCに潜入(2004/03/23)
携帯電話ウイルス「Cabir」は未来の感染予防に教訓〜Symbianが詳細公表(2004/06/21)
インターネットユーザーの87.9%が情報漏洩に不安〜シマンテック調査(2004/06/10)
Sasserは企業よりも家庭ユーザーの感染が断然多い〜シマンテック星澤氏(2004/05/06)


( 大津 心 )
2004/06/22 18:56

- ページの先頭へ-

Internet Watch ホームページ
Copyright (c) 2004 Impress Corporation All rights reserved.