「最近ではマルウエア(悪質なプログラム、広義のウイルス)の性質が変化しているために、ネットワークの運用状況だけからマルウエアの活動を知ることが難しくなっている。マルウエアを観測する専用のシステムと取り組みが不可欠だ」――。インターネットイニシアティブ(IIJ)技術開発本部 プロダクトマネージャの齋藤衛氏は2007年11月15日、同社の技術セミナー「IIJ Technical Days 2007」において、マルウエア対策に関する新たな取り組みを紹介した(写真1)。
齋藤氏によれば、2001年から2003年ごろに出現していたマルウエア――例えば、「Code Red」「Slammer」「Blaster」――は急激に感染を広げるタイプだったので、その影響がネットワークの通信に顕著に現れたという。「ISP(インターネットサービスプロバイダー)は、ネットワーク機器の運用状況などから、マルウエアの活動状況を調べることができた」(齋藤氏)。
しかし2003年以降、マルウエアの性質が変化。例えば、攻撃者が感染パソコンを自由に操れるようにする「ボット」は、感染を広げた後に、攻撃者の命令に基づいて動き出すので、活動と攻撃(悪性活動)に時間差がある。このため、通信状況からその実態を把握することが難しい。
また、特定のターゲットを狙って感染する「標的型攻撃」のマルウエアは、流通量が極めて少ないために、その活動が通信状況にほとんど現れない。
一方で、ユーザーからの報告などを見ると、マルウエアが活動していることは明らか。そこで同社では、技術開発本部を中心としたマルウエア捕獲・解析・対策プロジェクト「MITF(Malware Investigation Task Force)」を2007年4月に発足。IIJのネットワーク内にマルウエアを捕獲する装置(システム)を設置。捕獲したマルウエアを解析する環境を整備し、マルウエア対策に役立つ情報(例えば、新種のマルウエアの挙動)の収集を開始した。
具体的には、脆弱(ぜいじゃく)性があるように見せかけた、おとり用のコンピューター(「ハニーポット」と呼ばれる)を設置し、マルウエアに感染させる。そして、ウイルス対策ソフト「ClamAV」を使って、そのマルウエアが既知のものかどうかをチェック。加えて、閉じたネットワークに接続したコンピューター上でマルウエアを実行して、その挙動などを観測する。
同社の技術開発本部 チーフエンジニア永尾禎啓氏は、2007年10月25日から11月7日までの“捕獲”結果を公表(写真2)。1日あたりおよそ40種類のマルウエアを捕獲したという。また、ハニーポットにマルウエアを感染させた攻撃元パソコンの41%が、IIJのネットワーク上に接続しているパソコン、つまり、IIJユーザーのパソコンだったという。
現時点では、設置しているハニーポットの台数はまだまだ少ない(台数は未公表)。今後は台数を増やして、より多くのマルウエアを収集できる体制を整える予定。観測結果や解析結果については、何らかの形で公表していきたいとしている。
