先のレポートで、トレンドマイクロのウイルス解析センター「TrendLabs」が優秀な技術集団であることをお伝えした。続いて、実際にウイルスが拡散したとき、TrendLabsではどんな対応が行われるのかを追ってみたい。

TrendLabsが入居するIBM Plazaビル。地上30階、地下3階	IBM Plaza周辺の町並み。高層マンションが建ち並び、新しい建物が次々と建築されている

ウイルス拡散、レッドアラート発令! その時TrendLabsは

ある日、会社に出社してPCを起動、メールを受信しようとしたところ、妙に受信が遅い。Webブラウザを立ち上げてみると、どのWebサイトも表示される前にタイムアウトになってしまう。社内でウイルス感染が発生、トラフィックが爆発的に増大したことで、ネットワークに障害が起こったのだ--。

昨今のウイルスは、1台に感染すると無差別のEメール送信やネットワーク内のPCへの攻撃など、膨大なトラフィックを発生させるものがあり、こうしたネットワークの障害は一般的に起こりうる。新種のウイルスにより、まだウイルス対策ソフトが対応できていない場合、その被害は加速度的に増大する。

こうした新種のウイルスに対して、いかに素早く対応するか。TrendLabsでは、社内的に定めたタイムリミットと効率的な業務分担によってそれを実現しようとしている。

トレンドマイクロでは、破壊力の大きさや感染力の強さといった指針でウイルス拡散時のアラートを定めており、イエローアラート、レッドアラートの2種類を用意。通常は個々に割り当てられたウイルスを解析しているTrendLabsの解析チームだが、アラート発令時には最大5人のウイルス解析者が作業に従事。作業を分担しつつ、タイムリミットを決めて素早い対策の提供を目指す。ちなみに、このアラートを発することができるのは「AV(AntiVirus)コマンダー」と呼ばれ、トレンドマイクロの中でも、アジア・欧州・米国にそれぞれ1人ずつしかいないという。

レッドアラート発令! これはTrendLabs内のOutbreak Soluciton Centerでのデモ

新種のウイルスが大量発生すると、たいていはまず、世界6カ国に設置されている拠点に情報が集まる。各拠点では寄せられた情報やウイルスの検体から新種のウイルスかどうかを推定、被害が大きいと判断すると、TrendLabsに対して検体を送るとともにアラートの発令を進言。世界中から集められたそうした情報と、ウイルス解析チームのウイルス解析結果をもとに、AVコマンダーがアラートを出すかどうかを決める。

アラートの発令が決まると、ウイルス解析チームの「AVクエリー」が手元の端末を操作。端末からはアラート発令の音声が発せられるとともに、TrendLabs内のレッドアラート/イエローアラートのランプが点灯、天井の赤色灯が回転を始める。同時にウイルス解析チーム前方の壁にあるデジタル時計が、アラート発令からの経過時間をカウントし始める。ここから、ウイルスに対策するための作業が開始される。

AVクエリーが作業の振り分けを行う。右手前方の端末でアラート発令の操作を行う	AVクエリーの操作によって、天井の赤色灯が回転、デジタル時計がカウントを開始する

アラート発令時、ウイルス解析チームのメンバーは、場合によっては作業中の(アラートの出ていない)ウイルスの解析を中断、アラートの出たウイルスに対策するための作業に移行することもあるそうだ。誰がどの作業を行うか、振り分けを行うのはAVクエリーの役目だ。

メンバーはそれぞれ、割り当てられた内容に沿ってウイルスを調べ、定義ファイルの作成などに取りかかる。解析チーム「JITメンバー」はウイルスを解析、コードのチェックや逆アセンブラなどによってウイルスの行動を明らかにしていき、その動きを検知してブロックするための定義ファイルなどを作成していく。通常は1人で行う作業を、アラート時は5人以上で分担して行うという。

作業を行うJITメンバー。大規模なアラート事例の場合、複数で同じ作業を分担する場合もあるそうで、5人以上が作業に従事する

この中で、迅速な対応が必要な顧客のために、サポート外だが最初の定義ファイルとして「バンテージパターン」がリリースされる。また、ウイルスがどのOSに対して影響するのか早めに知りたいという顧客のために、解析チームはWindows全バージョンやLinuxといったOS上でウイルスを(もちろんネットワークにつながない状態で)実行し、その情報を迅速に提供する。

できあがった定義ファイルなどについて、次は「パターンQA(品質保証)チーム」が最終的なファイルの検証を行う。これは、Virus Bank内の過去のウイルスを用いて誤検出しないかどうか、何らかのバグがないか、といった検査を行い、それを通過すると、ファイルは「Active Updateチーム」に送られる。

定義ファイルなどは、最終的にQAチームが検証する	Active Updateチーム(手前)。解析チームとは少し離れたNetwork Operation Centerにあり、こちらにも赤色灯とデジタル時計がある

Active Updateチームは、ウイルスバスターなどが定義ファイルを配信するActive Update Serverへデータをアップロードするほか、それがきちんとダウンロードされるかどうか、といった検証も担う。

こうして正式なウイルス定義ファイルが公開され、そのウイルスへの対策が終了する。この後は、Webの情報をさらにアップデートしたり、被害が大きかったウイルスに対しては駆除ツールを提供したり、まだまだ作業は続くものの、ウイルスバスター利用者が定義ファイルをアップデートすれば、そのPCは大規模感染を引き起こしたウイルスから守られるようになる。アラート発令時に回転を始めた赤色灯は、すべての作業が完了した時点で止められる。

アラート発令時のウイルス解析チームの行動は、分単位でタイムリミットが定められており、作業が遅れているメンバーに対してチームリーダーから急ぐよう指示が出されるほか、各メンバーが相互に情報をやりとりし、より早く、より確実にウイルスに対策できるように作業を進めていく。

これは同社が蓄積した約7万7,000種、50万体の検体を納めたVirus Bank。この中に入るためには特別な権限が必要で、今回内部に入ることはできなかった

チームリーダーの1人であるIvan M. Macalintal氏によれば、アラート発令時、複数の作業を同時進行で進める解析チームは、お互い声を掛け合い、情報を共有しあうので、フロア内は非常に騒然とするそうだ。会話以外では、インスタントメッセンジャーを用いてメンバー同士が情報をやりとりし、ある程度まとまった情報であればEメールも利用。分担作業をしつつ、互いの作業に役立つ情報を提供しあうことで、素早い定義ファイルなどの作成を可能にしているという。

壁に掲示された、各メンバーの業務とタイムリミット。アラート時は、ここに掲示された時間内に、割り当てられた作業を遂行することが求められる

ウイルスに関する問い合わせは、現在日本からのものが最も多いそうだ。ファイル共有ソフト「Winny」を利用する「WORM_ANTINNY.A」やそれに触発された「TROJ_NULLPORCE.A」といった日本発のウイルスも登場しており、TrendLabsでは日本語環境を用意。日本語特有の環境でもきちんと定義ファイルが動作するかどうかを検証しているほか、他の言語環境の整備も目標としている。

ちなみに、ウイルス名称の決定権は、ここTrendLabsのSenior Antivirus Consultant・Jamz Yaneza氏にあるそうだ。基本的に名称はウイルスに含まれるコードなどをもとに、文字数など一定のルールの中で決定する。ユーザーの混乱を避けるため他社とも情報をやりとりもするそうで、当初の名称から変更する場合もあるという。名称は、直接Yaneza氏が決定することもあるが、基本的にはTrendLabsのメンバーが決めたものを承認する場合が多いようだ。

今回は、実際にアラート発令時のデモの様子を取材したのだが、その翌日にBagleワームの亜種「WORM_BAGLE.AI」に対してイエローアラートが発令され、TrendLabsではデモと同様にワームへの対策を進めたそうだ。プレミアム契約ユーザー向けには、契約通り2時間以内に対応をすませた、という。