トレンドマイクロは22日、日本国内専門のウイルス解析&サポートセンター「リージョナルトレンドラボ」の本格稼働を開始した。日本固有の脅威に対抗することを目的に設立された組織で、不正なプログラムやWebサイトの情報を能動的に収集し、迅速な対応を図る。

同社は22日、報道機関向けにリージョナルトレンドラボを公開し、同社日本代表の大三川彰彦氏と、同シニアアンチスレットアナリストの岡本勝之氏が、ラボの業務や設立の背景・目的を説明した。

トレンドマイクロ 日本代表 大三川彰彦氏

トレンドマイクロ シニアアンチスレットアナリスト 岡本勝之氏

岡本氏は初めに、2007年1~4月の動向を解説した。今年に入ってからの脅威は、HTMLメールやWebサイトにスクリプトを埋め込むことで不正サイトへリダイレクトする攻撃や、メールの添付ファイルを開かせることで、Webサイトから不正なプログラムをダウンロード、実行してしまう攻撃が相次いだ。こうした攻撃の中には0-day脆弱性の悪用や標的型攻撃が組み合わせられた巧妙・複雑なものもあり、岡本氏は具体的な事例としてWindowsのアニメーションカーソル処理の0-day脆弱性を攻撃するものや、亜種が頻発した「WORM_NUWAR」挙げている。「ユーザーを不正サイトにアクセスさせ、スクリプトで(不正プログラムを)自動的にダウンロードさせようとする攻撃」(同)、特にダウンローダのような、感染後に更に攻撃サイトへアクセスして複数の不正プログラムをダウンロード・実行するシーケンシャル攻撃が大きな脅威となっていることを岡本氏は指摘する。

今年に入ってからの脅威の動向

攻撃サイトへアクセスすると、ページ内スクリプトにより、サーバ上の不正プログラムをダウンロードさせられる

「これまで重要だったのは不正プログラム自体を検出することだった」と岡本氏。だが、上に示した例のように、今後重要となる対策は攻撃サイトへのアクセスそのものを防止することにあるという。そのため、日本に特化した不正プログラムや攻撃サイトの情報を収集することが求められるのだ。

岡本氏からはリージョナルトレンドラボの情報収集手法がいくつか紹介された。

「Web threat Crawler」は攻撃サイトを定期的に巡回し、検体を収集するシステム。これにより、攻撃サイトでホスティングされている不正なプログラムの収集や、新種・亜種への対応、サイトの活動状況を迅速に把握することが可能となる。岡本氏は「ウイルスの解析によって(さらに)不正なURLを収集できるのがアドバンテージ」と説明する。

Web threat Crawlerは攻撃サイトを定期的に巡回するシステム

「P2P Crawler」はWinnyやShareなどのP2Pネットワークから検体を収集するシステム。P2P Crawlerが指定したキーワードを元にファイルを取得し、最新のパターンファイルでスキャンを実行、ノーマルファイル以外の未対応のファイルをフィリピンのTrendLabsに送信する。

検証目的や報道目的などでP2Pソフトウェアそのものを運用することには様々な意見がある。キャッシュ機能や転送機能でファイルを拡散してしまうためで、そのファイルが著作権者の許諾を得ることなくP2Pネットワークで流通している著作物であったり、非常にプライベートな情報が漏えいしている場合、二次被害、三次被害を生むことになる。

岡本氏はこの点について、P2Pソフトウェアそのものを運用していることを認めた上で、ファイル拡散については技術的な対策を施していると語っている。また、下の画像では、収集するファイル形式としてEXE形式とZIP形式が挙げられているが、オフィスソフトの脆弱性を狙う攻撃もあることから、場合によってはドキュメントファイルや他の圧縮形式のファイルも収集するとコメントしている。

WinnyやShareネットワークで流通しているファイルを収集するP2P Crawler

「Honey client」は、実際に不正なプログラムに感染した後で、ダウンロードするプログラムを収集するシステム。2007年の脅威動向でも示した通り、1つの不正プログラムを実行することで、複数のURLにアクセスし、複数の不正プログラムをダウンロード・実行させるものも多いことから、これらの情報の収集に期待をかけている。「いわば囮捜査」と岡本氏はたとえている。

囮捜査のように自ら感染することで、その先にある情報を収集するHoney client

「Canalized data project」は、上記システムの収集データから実際の攻撃状況を可視化する試み。統計的な情報の把握が可能となる。

不正サイトの活動状況、サイトのホスト分布、新種ウイルスの発生割合などの情報を統計的に把握する

「不正なプログラムそのものと、それがアクセスするURL。大きく言ってこの2つが今、一番対策すべきポイント」と岡本氏。その対策を進めていくのがリージョナルトレンドラボの役割となる。

解析の自動化にも注力する。「不正なプログラムとされたものでも、人でより詳しく解析する」(同)

従来、「システムクリーナーはTrendLabsに依頼して作成していた」(同)が、今後は同ラボがその役割を担う

同社日本代表の大三川氏は「2006年、アウトブレイク(=大規模感染)はゼロ。世界がマスで感染したウイルスがゼロだったということだ」と語る。しかし、「感染報告は2005年に比べて倍増していた」のだという。

脅威も変わった。「従来の愉快犯的なものから、金銭的な意図、政治的な意図をもった攻撃が増えている。仕掛ける者に意志がある。意図を持って攻撃しているのが大きな特徴だ」と指摘する。

大規模感染を志向する不特定多数への攻撃から、標的型・シーケンシャル攻撃へ

中央省庁や企業が狙われるようになった標的型攻撃は、海外での事例だけではない

「リージョナルトレンドラボの役割は、日本国内の協力団体などと協力し、日本に網を張って対策に必要な情報をどんどん集めること」と大三川氏。「グローバルではこうした試みをしてきたが、(今後は)『グローバル+ローカル』で」と続ける。

不正プログラム・Webサイトの情報収集により得られるもの

同ラボの役割は情報収集だけでなく、バンテージパターンの作成も

リージョナルトレンドラボ設立会見の席で発表された、プレミアムサポート契約の法人顧客向け「バンテージパターン」は、同ラボで作成される。これは緊急対応の性格が強いパターンファイルで、単一の不正プログラムに対応する一時的なもの。「ウイルスバスター」利用者などの個人向けには提供されないが、「Webで提供している駆除ツールやシステムクリーナーではバンテージパターンを適用したプログラムを提供する」という。

同ラボは「今後の我々のサービスの拠点にもなる」と大三川氏。アジア各国に展開している製造業者を中心に提供されているモニタリングサービスの基盤としたい考えだ

日本という地域特性を考慮した活動を展開するリージョナルトレンドラボ

公開されたリージョナルトレンドラボ

ここは発生したインシデントについて、対応を協議するミーティングスペース

リージョナルトレンドラボのメンバーは約20名