セキュリティ・ベンダーのセキュアブレインは,マルウエア(ウイルスやボット,スパイウエアなど悪事を働くプログラム)を自動的に解析して駆除ツールを生成するシステム「SecureBrain Zero-Hour Response System」(ZHRシステム)を開発した。速やかに自前で駆除ツールを生成して対策を講じられるのが特徴。特定の企業や組織を狙うスピア型攻撃への対策として注目される。10年以上にわたりセキュリティ業界に従事してきた同社マーケティングディレクターの中田太氏に,ZHRシステムについて話を聞いた。
ZHRシステムを開発した経緯は。
 セキュアブレインの中田太氏 [画像のクリックで拡大表示] |
スピア型攻撃では特定の組織にウイルスを送り付けるために,なかなか検体を入手できない。検体を入手できなければ,当然ウイルス対策ソフト・ベンダーは対応できない。もし検体が手に入っても,ベンダーからみると一般に広く狙われている攻撃ではないので,パターン・ファイル作成などのプライオリティはなかなか上がらないという問題がある。
企業や組織が迅速に対策をするために,自分たちで解析をするとなると,高度な技術と知識を持つエンジニアを育成しなければならない。仮に育成できたとしても,すべてのウイルスを解析できるわけではない。この部分の問題を解決するソリューションとしてZHRシステムを開発した。
具体的にどうやって問題を解決できるのか。
ZHRシステムは,一つの検体を5分から10分という短時間で解析し,その結果を基に駆除ツールを生成する。解析結果はXMLファイルとして出力され,Webサイトにセキュリティ情報として表示することも可能だ。
最近のウイルスではどのような攻撃を仕掛けてくるのか全貌(ぜんぼう)を明らかにすることが難しかった。ウイルス対策ソフトのベンダーが検体を解析しようとすると,ウイルスは本来の動きを止めてしまうために攻撃の全貌を解明するには時間がかかる。
これに対してZHRシステムは,独自技術で仮想環境を構築し,システム・ログの中でマルウエアがどんな動きをするのかを細かく解析する。マルウエアは,Win32のプログラムであればどんなものでも解析可能だ。
ZHRシステムではユーザーが検体を自力で見つけなければならない。マルウエアと疑われる検体を自動的に発見できるような仕組みはできないのか。
今回開発したZHRシステムは,マルウエアの解析がメインだが,今後はマルウエアを能動的にネットワーク上で発見できるシステムを提供していく計画だ。例えば,ボットの場合には通信を監視して能動的にボットの発信源であるパソコンを探し出す仕組みを開発しようとしている。これは4月から5月にかけて発表する予定だ。
また,将来的にはZHRシステムをASP(application service provider)サービスとして提供することも検討したい。ASPサービスは,ISPと協力した方が,インフラやシステム面でも安心して提供できるのではないかと考えている。
