「Malware and standards ― is it possible?」より
October 1,2009 Posted by Igor Muttik
セキュリティ業界では,業界企業間の情報交換を迅速化しようと,新たなXMLフォーマットを策定した(関連記事:「ウイルス情報をXML形式で共有」,業界団体が標準化作業)。筆者はこの共同作業に協力できて興奮している。作業は,米国電気電子学会(IEEE)の監督の下,ワーキング・グループ「Malware Working Group」が「Industry Connections Security Group(ICSG)」活動の一環として実行した。グーグルで「IEEE」と「ICSG」を検索すれば,IEEE ICSGのリンクが最初に表示されるだろう。
複数のセキュリティ企業から約20人が参加し,XML標準案の策定に従事した。筆者はこの結果に大変満足している。このXMLフォーマットはシンプルなうえ柔軟性が高く,既にウイルス対策ソフト・ベンダー4社がマルウエア流行状況を示すメタデータのやり取りで使用中だ。メタデータを共有する企業/組織が増えれば,マルウエア・サンプルの交換に手間がかかっていたことなど過去のものとなり,脅威情報をリアルタイムに交換する時代へと変わる。マルウエア・サンプルとドメイン,IPアドレスの関係を示す情報を交換することで,インターネット・ユーザー全員のセキュリティ改善につながる無限の可能性が開ける。
このXMLフォーマットを使うと,特定のマルウエア作成グループが配布したマルウエアやドメイン/IPアドレス使用履歴を漏れなく記述したり,マルウエアがパソコンに感染する方法まで表現したりできる。そのうえ,高速な自動分析に適した,あいまいさを排除した記述が行える。つまり,強力なツールなのだ。
非常に単純なマルウエア流行状況のデータをやり取りする簡単な情報交換でも,大きなメリットが得られる。
・ウイルス対策ベンダーは,調査作業待ちのサンプルに優先順位を付けられる
・試験機関は,より有効性の高い内容の試験を作れる(例えば,古くて珍しいサンプルの重要度を下げられる)
・ システム管理者は,整った現場報告書をウイルス対策ベンダーに提出し,インターネットの安全向上に役立ててもらえる
このXML形式メタデータの例を以下に示そう。
マルウエア情報交換用のXML形式メタデータ
当ブログ記事で紹介したXML標準に興味があるなら,完全なXMLスキーマ(XSD形式)を入手してみるとよい。活動に参加したければ,米マカフィーのウイルス対策技術研究機関Avert Labsの窓口に問い合わせてほしい。
Copyrights (C) 2009 McAfee, Inc. All rights reserved.
本記事の内容は執筆時点のものであり,含まれている情報やリンクの正確性,完全性,妥当性について保証するものではありません。
◆この記事は,マカフィーの許可を得て,米国のセキュリティ・ラボであるMcAfee Avert Labsの研究員が執筆するブログMcAfee Avert Labs Blogの記事を抜粋して日本語化したものです。オリジナルの記事は,「Malware and standards ― is it possible?」でお読みいただけます。
