24時間で300件のウイルスを手作業解析する「Symantec Security Response」 | RBB TODAY

24時間で300件のウイルスを手作業解析する「Symantec Security Response」

エンタープライズ その他

24時間で300件のウイルスを手作業解析する「Symantec Security Response」
  • 24時間で300件のウイルスを手作業解析する「Symantec Security Response」
  • 24時間で300件のウイルスを手作業解析する「Symantec Security Response」
  • 24時間で300件のウイルスを手作業解析する「Symantec Security Response」
  • 24時間で300件のウイルスを手作業解析する「Symantec Security Response」
  • 24時間で300件のウイルスを手作業解析する「Symantec Security Response」
  • 24時間で300件のウイルスを手作業解析する「Symantec Security Response」
 アンチウイルスソフトで使われている定義ファイルはどのように作成されているのか。シマンテックでは、ウイルス解析チーム「Symantec Security Response」の自動処理システム「SARA(Symantec Security Research and Automation)」と、アセンブラの分かるエンジニアによる手動解析の組み合わせ、である。

 Symantec Security Responseマネージャの星澤裕二氏によると、ウイルスなどへの対応は、時差にあわせて東京、サンタモニカ(米)、ダブリン(アイルランド)の3拠点でそれぞれ8時間体制をとり、24時間365日のサービスを提供しているという。このため日本でも夏時間が適用されるとのこと。

 ウイルスファイルは基本的にユーザからの届出によって入手しており、自動解析システムのSARAで解析できないものを、エンジニアが手作業で対応するという流れだ。調査依頼は月間で15万件〜20万件で、そのうち95%〜98%はSARAによって解析されワクチンが自動生成されている。

 自動解析できなかったウイルスについて、エンジニアはウイルスを意図的に発病させて症状や動作をチェックするブラックボックステストと、ウイルスファイルをリバースエンジニアリングして細かな動作を確認するホワイトボックステストを併用しつつ解析をおこなう。

 ブラックボックステストでは、擬似的にインターネットのような環境をととのえた専用ネットワーク(もちろんインターネットおよびシマンテック社内ネットワークから切り離されている)上で発病させているということで、発病時にどのような値をレジストリに書き込むか、あるいはどのようなファイルにアクセスしているかをモニタリングツールを使ってチェックしている。

 ただ、特定の日付でないと動かない、あるいは特定の環境(ダイヤルアップネットワークがある場合だけ、など)のみで動くといったウイルスもあるため、ホワイトボックステストによる逆アセンブルされたコードのチェックは欠かせないという。

 現在は24時間あたり250〜300件のウイルスがエンジニアによって処理されているとのこと。これに関連して星澤氏は、ウイルス報告数は増加の一途であり、今後SARAの高機能化・高速化とともに、マニュアルで解析できるエンジニアの確保による体制の強化が必要になるだろうと述べた。

「話題になるのはセキュリティホール型とかファイルレス型だが、実際に猛威をふるっているのはまだまだ大量メール送信型が多い」と語る星澤氏(クリックで拡大)

シマンテックの拠点やセンサ設置場所を示したマップ。18000か所の不正アクセス検出用センサは180カ国に設置されている(クリックで拡大)

これがシマンテック社内にあるウイルス発病用PC。挙動確認のためさまざまなバージョンのOSが簡単に導入できるようになっている(クリックで拡大)
《伊藤雅俊》

特集

page top