前回、「リージョナルトレンドラボ」の役割についてご紹介しました。今回は、リージョナルトレンドラボの活動の1つである、ウイルスの収集活動に焦点をあてて紹介していきたいと思います。
ウイルス収集の目的
ウイルスの収集活動では、「ハニーポット(Honeypot)」と呼ばれる、わざとウイルス感染しやすく設定したおとりのシステムを利用しています。また、単純にウイルスの収集活動を行なっているわけではなく、ウイルスの侵入経路や日本における分布状況についても、監視・分析を行なっています。すなわち、この活動のミッションとは、お客様がまだ遭遇していない未知ウイルスをいち早く収集することで、被害を未然に防ぐというミッションと、お客様へ早期警戒を促す情報発信という2つの側面を担っているのです。
近年では、製品が見つけた脅威の情報をリアルタイムでトレンドマイクロへ送信する「スマートフィードバック」という機能で、ユーザーからタイムリーに脅威情報を収集できるようになりました。そのため、ラボで独自に開発したハニーポットのシステムを使わなくても、未知ウイルスは収集できます。これは大きな革新なのです。
特定の企業・団体などを狙ったいわゆる「標的型攻撃」で使われるウイルスは、その性質上、セキュリティベンダーの用意したハニーポットによる捕獲は困難です。しかし、スマートフィードバックを利用すれば、特定地域に限定されたウイルスであったとしても捕獲可能になったのです。
図1がトレンドマイクロの「スマートフィードバック」のイメージとなります。各製品がクラウドにある「スマートプロテクションネットワーク(Smart Protection Network)」に接続され、脅威情報をタイムリーにフィードバックしています。ただし、製品のバージョンによっては「スマートフィードバック」に対応していない場合があります。また、設定によってこの「スマートフィードバック」機能をオフにすることも可能です。
ハニーポットの種類
ここからは、上述したトレンドマイクロが独自に開発しているハニーポットの一部について紹介していきたいと思います。ただし、セキュリティなどの問題上、ハニーポットシステムのすべてを公開することはできません。一部のハニーポットの紹介に留まることをご了承ください。
1つ目のハニーポットのシステムは、「ウェブ・クローラー(Web Crawler)」と呼ばれるシステムです。このシステムでは、不正なWebサイトを巡回(クローリング)して、ウイルスを収集します。概要を説明するととても単純なシステムですが、ウェブ・クローラーを運用するにあたり、重要なポイントがあります。そのポイントの中からいくつかご紹介すると、当社では主に以下のポイントを考慮しながら運用を行なっています。
- 鮮度のよい不正URLの収集
- ウェブ・クローラーに割り振られるIPアドレス
- リクエストヘッダー
「鮮度のよい不正URLの収集」の意味するところは、不正URLへアクセスできる時間(期間)が短い場合が多いため、アクセスできる不正URLをより多く収集することが重要となってきます。
2つ目のシステムとしては、「ハニークライアント」を紹介しましょう。ハニークライアントでは、「わざとウイルスに感染させたコンピュータ」をネットワークに接続し、感染させたウイルスがダウンロードする別のウイルスを収集します。現在、多くのウイルスはWebを利用して自身をバージョンアップ、他のウイルスを連鎖的に感染させるためです。
もちろん、そのままウイルスに感染したコンピュータをネットワークに接続すると、個人や企業を攻撃してしまう懸念もあります。こうした事態を防ぐため、特別な設定をしています。
3つ目のシステムは「P2Pクローラー」です。これは、Winnyなどのファイル共有ソフトで感染を広げるウイルスを収集するためのシステムです。「WORM_ANTINNY(アンティニー)」や通称:原田ウイルス、タコイカウイルスといった日本のファイル共有ソフトを悪用して感染するウイルスは、アニメや映画など著作権上違反性の高い動画を偽り、ファイル共有ネットワーク上にばら撒かれています。このため、ウェブ・クローラーやハニークライアントだけでは収集することが困難なのです。そのために、トレンドラボではP2Pに特化したクローラーを用意しているのです。
以上が、代表的なハニーポットのシステムとなります。次回は具体的なウイルス解析における、ブラックボックステスト、ホワイトボックステストなどを紹介します。
この連載の記事
-
第4回
TECH
集めたウイルスはどのように解析するの? -
第2回
TECH
ウイルス解析機関「トレンドラボ」はなぜフィリピンに? -
第1回
TECH
セキュリティベンダーのウイルス解析は何をしているの? - この連載の一覧へ