ウイルス対策ソフトを利用しているユーザーからの報告やリサーチチームによる収集で集められた疑わしいファイルは、どのようにして解析されているのか。今回は、大きく分けて自動解析と手動解析の2種類がある、ウイルス解析の手法について紹介していきます。
基本は自動解析
新しいウイルスは1.5秒に1つ発生しています(2009年 AV-Test提供データに基づきトレンドマイクロ算出)。この膨大に増加するウイルスに効率的に対応するため、トレンドマイクロでは蓄積してきたウイルスの動作や特徴のデータを活用した自動解析システムによって、疑わしいファイルがウイルスかどうかを判定しています。
自動解析では、まずは最初に疑わしいプログラムのファイルフォーマットと破損ファイルをチェックし、ファイルの状態を確認します。その次に、「パターンファイル」と呼ばれるウイルスの特徴を記録したデータの最新版を使って、既存の不正プログラムかどうか確認します。同時に、誤った判定を防ぐために、ウイルスではない正常なファイルを蓄積した「ノーマルファイルデータベース」を使った確認も行ないます。
図1 不正プログラムの解析
これらのデータでは照合されなかった疑わしいプログラムは、バーチャル環境でレジストリの変更や追加、ファイルの作成、ポートの開閉などの動作を確認し、不正プログラムかどうかの判定を行ないます。
これらの一連の処理はシステムによって自動的に行なわれまが、自動処理によって判定がむずかしいファイルもあります。そのようなファイルに対して行なうのが、次に紹介するエンジニアによる手動解析です。
自動で対処できないファイルは手動解析
システムによる自動的な解析は必要ではありますが、複雑なウイルスやより詳細な動作を確認するために手動での解析も重要となります。手動での解析を行なうためには優れた人材と技術向上のためのトレーニングが必要であり、ウイルス解析を行なうエンジニアは専門のトレーニングを受け、厳しい試験に合格しなければいけません。手動での解析方法について、ここでは一般的に使われる解析手法である物理ファイルの分析、ブラックボックステスト、ホワイトボックステストといった内容について紹介します。
図2 手動でのファイル解析手法
物理ファイルの分析では、ファイル名や拡張子、ヘッダー情報といったファイル自体の状況を見て、解析の対象がどのようなファイルかを把握します。
ブラックボックステストでは、ファイルを実行し、作成されるレジストリやファイル、プロセスなど観察して、挙動を確認します。たとえば、「一般的なプログラムでは行なわない手法でHostsの変更を行なっている」など、不正プログラム特有の挙動がないかを確認します。
なお、疑わしいファイルを実行した後に、感染活動を行なうプログラムも存在します。このため、ブラックボックステストはネットワーク的にも隔離された環境で実行し、不正プログラムによって他のPCなどに影響がでないようにしています。
ホワイトボックステストは、対象の不正プログラムをリバースエンジニアリング(逆アセンブル)することで、プログラム内部の処理フローやデータ構造など動作の仕組みを確認します。ウイルス解析は、
- 実行しているコード単位で正確な動作を見るミクロの目
- コード単位ではなく意味のあるまとまり(ファンクション)の構造から全体を把握するマクロの目
の両方の視点が必要となります。ウイルス作成者は、どのような意図でそのプログラムを作成しているのか。これを推測しながら、解析を行なうのです。
このような手法でウイルス解析を行なっていくため、解析エンジニアにはプログラム言語の知識だけでなく、オペレーションシステムやネットワークなどの幅広い知識が必要とされます。もちろん、最新の技術情報を常に把握していかなければなりません。
●
今回は、自動解析と手動解析について紹介しました。自動解析は短時間で効率的に解析を行なえますが、複雑な不正プログラムの解析や詳細な動作の確認が困難といえます。一方、手動解析は複雑な不正プログラムの解析や動作の確認が可能ですが、解析には時間がかかってしまいます。
ウイルスが加速度的に増加し複雑化していく中、この2つの解析手法の利点をうまく組み合わせた形での対応が必要なのです。そのためトレンドマイクロでは、自動解析システム、手動解析方法の双方について継続した向上を行ない、脅威変化に柔軟に対応していかなければならないと考えています。
この連載の記事
-
第3回
TECH
セキュリティベンダーのウイルス収集方法とは? -
第2回
TECH
ウイルス解析機関「トレンドラボ」はなぜフィリピンに? -
第1回
TECH
セキュリティベンダーのウイルス解析は何をしているの? - この連載の一覧へ
