PCセキュリティーを守る！――ビジネスの新常識 第6回

急速に悪質化する不正プログラム対策の国内最前線！

トレンドマイクロ“リージョンラボ”　その実態を見た

不正プログラムの大部分を自動解析

　同社の不正プログラム対策は、拠点となる「トレンドラボ」（世界10ヵ所）で最新の脅威に関する情報収集や分析、パターンファイルの作成、配信などを行なっている。いわばヘッドクォーターの役割を果たすわけだ。ちなみに、日本を含むアジアにとっての最寄のトレンドラボはフィリピンにあるという。

世界規模でアプリの開発と不正プログラムの解析を行なう「トレンドラボ」。それに対して、規模こそ小さいものの日本独自の不正プログラム・マルウェア収集やP2P監視など、地域に特化した重要な役割を果たすのが「リージョナルラボ」だ

　これとは別に各国に設置されているのが、今回取材した“リージョナルラボ”だ。リージョン（その地域）独自の不正プログラムの解析や対策を行なうセクションとなる。日本には日本語環境に特有の不正プログラムもあるが、さらに日本ならではの環境として、P2Pソフト「Winny」のネットワーク上で流通する不正プログラムの監視も含まれる。

　それらに対抗するべく不正プログラムの動作パターンの解析や、トレンドラボとの連携、最新パターンファイルへの組み込みのほか、場合によっては独自に対策ファイル（「バンテージパターンファイル」と呼ぶ）を緊急配布することもある。

見た目は普通のIT関連企業のオフィスの一室だが、セキュリティ対策の最前線のひとつであるリージョナルラボ。ハニーポット、ハニークライアント用のサーバー類の一部も同室内に設置されているが、収集システムの規模などは非公開

　リージョナルラボでの不正プログラムの収集は“ハニーポット”（不正プログラムを意図的に感染させるためのPC）、“ハニークライアント”（不正なWebサイトにアクセスする不正プログラムをわざと感染させる）、“P2P監視”などによって行なう。

　なお、リージョナルラボへの入出は厳密に制限されている。これはトレンドマイクロ社内でも唯一、不正プログラム（ウイルスやワーム）そのものを検査のために取り扱うセクションであるためだ。同社内部で規定された資格を取得した者だけがリージョナルラボの担当者として入出を許される。ちなみに、トレンドラボの場合はさらに規定が厳しくなり、定期的に資格更新のためのテストも実施されているという。不正プログラムを取り扱うということは、それだけ重い責任を背負うというわけだ。

　前述の方法で収集した不正プログラムは、隔離・監視したネットワーク上で動作させて不正プログラムかどうかを判別し、検出・駆除するためのパターンファイルを作り上げる。この過程はほぼすべて自動化されており、現在では大部分の不正プログラムに対して自動的に対策がなされるという。

　とはいえ、最近はハニーポット上では挙動を見せない「解析逃れの不正プログラム」といったものも増えているという。不正プログラムとセキュリティ対策ソフトの関係は、旧来からの“イタチごっこ”という状況に変りはない。そうしたものは、手動で振る舞いや挙動をチェックしたり、プログラム解析などによって対策している。

今回の取材はリージョナルラボに隣接するミーティングスペースで行なわれた。ちなみにこの場所にもリアルタイム会議システムも備え、緊急を要するマルウェアの登場時などにはフィリピンのトレンドラボとの遠隔会議に使われるという

◆

　同社では1日1回のペースでのパターンファイルを更新しているが、それでも「2.5秒に1つ新型が登場する」といわれる不正プログラムへの対応は、どうしても後手後手に回らざるを得ないのは確か。

　さらにPCのアプリケーションや企業システムがクラウド環境前提となる昨今、新たなタイプの不正プログラムが登場してくることが予想される。これからは単にHDD内のファイルをスキャンするというだけのセキュリティ対策ではなく、包括的なセキュリティレベルの維持ということがいっそう重要になってくるという。

ASCII倶楽部

お知らせ