PCの利用で、ウイルス対策ソフトは不可欠である。しかし、普段はあまりその動作に気づくことは少ない。あるとしてもパターンファイルの更新くらいだ。ウイルス対策ソフトの裏側ではどのようなことが行われているのか?トレンドマイクロのリージョナルトレンドラボを訪問し、ウイルスの収集・分析、そして、その応用技術などを紹介しよう。

ウイルス収集の実際

ウイルス対策ソフトではウイルスの収集から始まる。ウイルス分析から、パターンファイルの作成だけでなく、様々な応用が行われている。まずは、リージョナルトレンドラボでのウイルスの収集を見ていこう。 一般的にはウイルスの収集には、ハニーポットと呼ばれるシステムが利用される。その代表的なものとしてネペンテスがある。リージョナルトレンドラボでは、常時、壁のTVにその状況が表示されている。

図1 ネペンテス、本来の意味は食虫植物であるが、まさにウイルスを食べるかのごとくウイルスを収集する

リージョナルトレンドラボでは、これ以外の複数の方法で、ウイルスを収集している。Web Crawlerは、実際のWebサイトからウイルスをダウンロードするものである。これには、不正なURLのリストの収集もかかせない(後述するウイルス分析からも収集する)。最近ではウイルスの感染の80%がWebからのダウンロードという実態をみれば、この方法によるウイルスの収集がもっとも効果的となる。しかし、攻撃者側も虎の子のウイルスを簡単にクローラにダウンロードされないように、工夫をこらしているとのことだ。場合によると、ダミーの巨大なファイルをダウンロードさせられることもある。

図2 Webクローラを実行中の画面

そして、Honey Clientである。こちらは、攻撃者に自由に攻撃を行わせる。そして実際のウイルスの活動をモニタリングするものだ。システムへの変更、パケットの状況、さらなるファイルのダウンロードといった挙動を監視し、不正行為を観測する。

図3 Honey Clientを実行中の画面、画面の一部に外部へアクセスが報告されている

また、P2P Crawlerでは、WinnyなどのP2Pネットワークから実行形式のファイルを収集する。最近の傾向として、P2Pには新たなウイルスの発見は少なくなりつつあるとのことだ。理由は、最近のウイルスでは金銭などを奪取することが目的となり、P2Pでは、その効果が薄いと攻撃者が判断しているのではないかと推測する。 このように、ウイルスの収集だけでも、脅威の傾向などが見てとれる点が興味深い。