筆者が担当する連載「検証ラボ:ウイルスを観察してみる」は,コンピュータ・ウイルス(ワームなど各種マルウエアを含む)に対する理解を深めようという趣旨で始めた企画だ。ウイルスを検証用のパソコンに感染させ,発症させて,その挙動を追う。

 この連載では,1年半にわたって50種類近くのウイルスを取り上げてきた。11月に公開する予定の4本をもって,一区切りを付ける。良い機会なので,連載のために実験・執筆に協力していただいたトレンドマイクロの「リージョナルトレンドラボ(地域ラボ)」を見学させてもらった。

 リージョナルトレンドラボは,世にあるウイルスを収集し,パターンファイルの作成に協力したり,駆除ツールを作成したりするための組織である。普段使っているアンチウイルス・ソフトのパターンファイルや駆除ツールがどのようなプロセスを経て作られているのか。筆者としても,大いに興味があった。

 リージョナルトレンドラボが,日本に設立されたのは2007年5月。それ以来,Webからの脅威に対するトレンドマイクロの情報収集・分析体制は大きく様変わりしたという。この動きは,同社が“戦っている”ウイルスの変化と深くかかわっている。ラボの説明に入る前に,ここ数年のウイルスの変化を振り返っておこう。

ウイルスの量と質が劇的に変化

 かつての代表的なウイルスと言えば,「MELISSA(メリッサ)」」(1999年に流行),「LOVELETTER(ラブレター)」(2000年),「CODERED(コードレッド)」(2001年),「NIMDA(ニムダ)」(2001年)などがある。いずれも世界規模で爆発的に感染を広げており,アウトブレイク型などと呼ばれる。

 ところが,ここ数年を振り返ると,アウトブレイク型の感染がほとんど見られないことに気づく。トレンドマイクロによれば,2001年には上位10種のウイルスによる被害が68.3%を占めていた。感染力の強い少数のウイルスが被害をまき散らしていたことを意味する。

 それが,2007年には一変している。上位10種のウイルスによる被害は,わずか4.5%にまで比率を落としているのだ(関連記事)。

 アウトブレイク型が影を潜めたからといって,ウイルスの脅威が薄まったわけではない。むしろ逆だ。量の変化と質の変化が同時に起こっているのである。

 量の変化としては,ウイルスの種類が爆発的に増加した。セキュリティ企業の米サンベルトソフトウエアによると,ウイルスの種類は2007年8月ころを境に急増している。ドイツのウイルス検査機関「AV-Test.org」が入手したウイルス・サンプル(検体)の種類は,2006年には毎月5万~10万程度だったが,2007年に入って15万を突破。同8月に一気に50万を超え,その後も右肩上がりで増え続けている。2008年12月中に確認されたウイルスは73万5049種類に達したという(関連記事)。

 同じくらいやっかいなのが,ウイルスの質の変化である。これは「ターゲット型の広がり」と表現できる。ターゲット型とは,特定の組織や特定の条件(地域,言語など)を満たすユーザーを狙うウイルスを指す。ここ数年,不特定多数のユーザーを混乱に陥れるアウトブレイク型に代わって,ターゲット型の増加が目立つ。

 ターゲット型は最初からアウトブレイクを狙わず,ソーシャル・エンジニアリングを駆使しながら特定の組織や国を確実に陥れる。例えば,ある組織の人事担当者になりすまして,ウイルスを仕込んだファイルをメールに添付して,「人事異動の件」という件名で送信する,といった手口をとる。

地域ラボでターゲット型ウイルスを収集・解析

 量・質にわたるこうしたウイルスの変化が,アンチウイルス製品メーカーに情報収集・分析体制の見直しを迫ることになった。トレンドマイクロの場合,かつてラボはフィリピンに1カ所あり,そこで世界中の情報を収集・分析し,パターンファイルを作成していた。しかし,それだけでは特定の地域を狙う大量の種類のウイルスを捕捉することが不可能になってきた。

 そこで2007年5月,同社はフィリピンのラボとは別に世界10拠点にリージョナルトレンドラボを設置した。今回,筆者が訪ねたのは,その一つの日本拠点である。

 日本のリージョナルトレンドラボの役割は,大きく二つある。一つは,国内で感染した顧客に対する復旧支援や社内外に対する啓蒙活動。パターンファイルは現在もフィリピンのラボで集約して作成している。ただ,それが間に合わない場合などは,日本のラボが駆除ツールを独自に作成して配布する。

 もう一つは,ハニーポットなどを駆使して,検体を自ら収集することだ。「以前は何もしなくてもユーザーから検体のほとんどが我々のラボに送られてきていた。ところが,今は地域ごとにこちらから探しに行かないと,検体を網羅することができなくなっている」と,コアテクノロジーサポートグループ リージョナルトレンドラボの平原伸昭課長は話す。

 特にターゲット型ウイルスの場合,特定の地域でないと探せないものがある。しかも,言語や習慣になじみがないと,ソーシャル・エンジニアリング的な観点での解析が難しいという。

 先ほど挙げたメールの例は,実際にあったものだ。正確には,「4月の人事異動の件」という件名のウイルス付きメールが3月に送信された。

 4月に定期異動が多い日本企業であれば,この時期にこうした件名のメールが来ることに納得感がある。そうした背景を知らない他国の担当者が見ると,「なぜこの時期に?」と首をかしげることになってしまう。地域ごとにラボを作ったのは,こうした背景がある。