このページの本文へ

ウイルス解析の現場から 第1回

検体収集、解析、製品への反映、検証からなるフェーズを紹介します

セキュリティベンダーのウイルス解析は何をしているの?

2011年04月25日 09時00分更新

文● 原 良輔/トレンドマイクロ リージョナルトレンドラボ 課長代理

  • この記事をはてなブックマークに追加
  • 本文印刷

現在、1.5秒に1つという驚異的な勢いで新しいウイルスが発生しています(2009年 AV-Test提供データに基づきトレンドマイクロ算出)。セキュリティベンダーではこのような爆発的に増加するウイルスに対抗するため、日々ウイルスの解析を行なっています。本稿では、4回にわたりトレンドマイクロのウイルス解析者がウイルス解析の全体像、トレンドラボの実体、検体収集の仕組み、ウイルス解析の仕組みについて解説します。

ウイルス解析の手法とは?

 日々新しいウイルスが発生している中、新種のウイルスが発生した際にどのような流れで対応を行なっているのか。今回はウイルス解析の全体像について「検体収集」、「解析」、「製品への反映」、「検証」という4つのフェーズに分けて紹介します。

図1 ウイルス解析の全体像

1.検体収集

 新種ウイルスに迅速に対応するには、まずウイルスと疑わしきファイルを入手する必要があります。ウイルスと疑わしいファイルを「検体(サンプル)」と呼び、全世界で発生する不正なファイルの情報を収集しています。

 収集には、大きく2つの方法があります。1つはリサーチチームによる「能動的な収集」。もう1つは、ウイルス対策製品のユーザーからもらう「受動的な収集」です。これらの活動を各国にある拠点で実施することで、地域に特化したウイルスについても早期の収集が可能になります。

 実際は、ウイルスの検体だけではなくスパムメールの発信元になっているメールサーバや、ウイルスの配布元になっているWebサーバなどの情報も収集していますが、今回はウイルス検体に基づいた手法について解説します。

2.検体解析

 収集した検体は、ウイルス解析チームに渡されます。このチームではまず、検体がすでにウイルスとして対応しているものかどうか、また不正な動きをするかどうかを確認します。そして、不正な動きをする場合は、その検体がどのような感染活動を行なうかの解析が始まるのです。

 検体の多くは、これまでに発生したウイルスに類似しています。これは、トレンドラボの技術・知識を集積した「自動検体解析システム」によって、解析を行なうことができます。自動解析システムを使うことで、加速的に増加するウイルスの対応が迅速になるのです。一方、複雑なプログラムや、不正か否かの判定が難しい検体は、ウイルス解析のエキスパートの手によって手動での解析が行なわれます。

3.製品への反映

 解析によってウイルスと判定された検体は、「パターンファイル」と呼ばれるウイルスのプログラム上の特徴を記録したデータに追加されます。ウイルス対策ソフトは、パターンファイルを更新する事で、新種のウイルスに対応していくのです。

 パターンファイルによる検出では、1つのウイルスに対して1つのシグネチャで対応する「パターンマッチング方式」だけではなく、プログラムのふるまいで判断する「ヒューリスティックパターン」、既知のウイルスをベースとした亜種を発見する「ジェネリックパターン」、ウイルスが悪用する特殊な圧縮ファイルのタイプで判断する「アンパッカー」などの複数の技術を活用しています。

4.検証

 ウイルス対策ソフトは、検出したファイルを隔離、削除します。そのため、パターンファイルはウイルスを正しく検出できるということだけではなく、誤って正常なファイルを検出しないという点についても十分に検証を行なうことが必須となります。

 そのため、ウイルスの検出不可や検出名の間違いがないかを検証します。それと同時に、検出時におけるコンピュータのパフォーマンスダウンの有無や、OSファイルや著名なアプリケーション、ウイルスではない一般的なファイルなどが誤検出されないことを確認します。さらに、パターンファイル単体のテストだけでなく、ユーザー環境においても問題がないよう、必ず主要製品・主要OS上で正しく動作するかの製品実装テストを毎回行なっています。

 日々更新されるパターンファイルには、このように非常に多くの検証工程が必要なのです。ただし、検証にあまりにも時間がかかりすぎると、新種のウイルスへの対応が遅くなってしまいます。ですから、トレンドマイクロでは、高い品質を維持しつつ対応速度を上げるために、検証作業を高速に処理できる独自の自動化システムを利用しています。

 ●

 このように、検体収集、検体解析、製品への反映、検証という4つのフェーズを経て、新種のウイルスに対応するパターンファイルを配信しています。トレンドマイクロでは、ウイルスの数が増加し複雑化していく中、迅速にソリューションを提供するとともに、安心して使用できる品質を守っていく取り組みを日々行なっています。

 次回は、ウイルス解析の現場であるトレンドラボの概要と、リージョンごとにラボがある理由を詳しく解説していきます。

カテゴリートップへ

この連載の記事
  • 角川アスキー総合研究所
  • アスキーカード