 |
![](data:image/svg+xml,<svg xmlns="http://www.w3.org/2000/svg" width="1" height="5"><rect fill-opacity="0"/></svg>){kind=small} |
記事検索 |
イベントレポート |
|
||||||||||||||
|
||||||||||||||
|
||||||||||||||
|
||||||||||||||
|
||||||||||||||
|
価格.com改竄事件、NOD32だけがウイルスを検知したのはなぜか |
||||||||||||||
|
||||||||||||||
|
|
||||||||||||||
|
||||||||||||||
|
||||||||||||||
|
||||||||||||||
|
||||||||||||||
|
||||||||||||||
|
||||||||||||||
|
5月に発生した価格.com改竄事件で、Webサイトに仕込まれたウイルスを当初から検知できたウイルス対策ソフトはキヤノンシステムソリューションズが販売する「NOD32」だけだった。「Virus Conference for Enterprise 2005」で、キヤノンシステムソリューションズの高本勉部長(セキュリティソリューション事業部第二技術部)がNOD32について解説した。 ● 強力なヒューリスティック機能が未知のウイルスを検知
「既知のウイルスを検知できないウイルス対策ソフトが存在することはショッキングな話だ」と高本部長。既知のウイルスだったTrojanDownloader.Small.AAOを、他社製品ではなぜ検知できなかったのか。「考えられる理由は、マイクロソフトのCHMファイルにインポートされていたことだ。このファイルの内部スキャンが十分になされていなかったのではないか。既知のウイルスであっても、圧縮形式やファイル形式によってはウイルス定義ファイルのシグネチャからだけでは判別されにくいケースもある」という。 未知のウイルスだったWin32/PWS.Delf.FZを検知できたのは、NOD32の「アドバンスド・ヒューリスティック機能」のためだという。ヒューリスティックとは「発見的手法」と訳され、汎用的なアルゴリズムを利用し、未知のコードを解析して「理解」することで不振な挙動を検出する。 ● NOD32では2つのヒューリスティック機能を組み合わせてウイルスを検出 この手法はもちろん、トレンドマイクロやシマンテックなどのセキュリティベンダーにおいても研究されており、バイナリ・ウイルスの命令フローやレジスタの値を逆アセンブラ的に追跡する「パッシブ・アプローチ」と、システム全体をエミュレートする「サンドボックス」で解析対象のコードを仮想的に実行し、影響などを判定する「アクティブ・アプローチ」という2種類のヒューリスティック技術が存在する。NOD32では、「スタンダード・ヒューリスティック機能」としてパッシブ・アプローチの技術を採用する一方、今回のウイルス検知に効果を示したアドバンスド・ヒューリスティック機能においてはアクティブ・アプローチを採用していた。 高本部長が自身で調べたところによると、ウイルス定義ファイルなしのNOD32でヒューリスティック機能のみを使用して(事実上の未知の)ウイルス381種類を検知したところ、スタンダード・ヒューリスティック機能では24.1%にあたる92件、アドバンスド・ヒューリスティック機能では64.0%にあたる244件、合計88.1%(336件)を検出した。スペインのセキュリティベンダーであるHispaSec Sistemasによる同様の調査でも他社が軒並み苦戦する中、NOD32が88%の検知率を誇ったという。 高本部長は、「ヒューリスティック技術は実用的ではないと批判する人もいるが、正しく実装すれば効果を挙げられる。ウイルスが日々出現する現状では、ベンダーにおいてもそれぞれの定義ファイルを作っている時間的な余裕もない。未知のウイルスに対しては、定義ファイルができるのを待つよりも、まずウイルスに感染しないよう的確に検知できることが重要ではないか」とコメントした。
● 価格.comにアプリケーションファイアウォールがあれば改竄は防げた 価格.comの事件でも明らかなように、サイト改竄はインターネット企業にとっては命取りの問題だ。こうした問題を防ぐことはできるのだろうか。「実は防げる。アプリケーションファイアウォールで、HTTPリクエストを調べてフィルタリングし、アプリケーションレベルまでパケットを解析すれば防げたはずだ」(高本部長)。キヤノンシステムソリューションズでも、IIS向けの「SecureIIS Web」や、LinuxとApacheの組み合わせであれば「NGSecureWeb」などの製品を用意している。また、企業におけるウイルス対策としては「砦は2つ。ゲートウェイとクライアントPCだ」と指摘。高本部長の考えでは、「ゲートウェイでは、ウイルス対策の負荷を強め過ぎると通常の業務にも支障が出るため、未知のウイルスがある程度すり抜けてしまうのは仕方ない。その代わりクライアントPCで未知のウイルスに対処する」という。このコンセプトでは、ゲートウェイとクライアントPCのウイルス対策に異なる会社の製品を選ぶことが効果的だという。また、欧州、中国、米国、インドなど選択するセキュリティベンダーの地域を考慮することも効果を高めることになるとした。 将来的には、ゲートウェイでは、インスタントメッセンジャーなどにも対応できる「コンテンツ・セキュリティ・ゲートウェイが確実に必要になる」と指摘。クライアント用の対策ソフトには、既知のウイルスは100%検出し、未知のウイルスの検出率も高いこと、軽快な動作、高速なウイルススキャンなどを要件に提示した。 関連情報 ■URL キヤノンシステムソリューションズ http://www.canon-sol.co.jp/ ■関連記事 ・ 「過失はない」としながらも不正アクセスの詳細の言及は避ける~カカクコム(2005/05/25) ・ 価格.comが一時閉鎖、不正アクセスでトロイの木馬を仕込まれる(2005/05/16)
( 鷹木 創 )
- ページの先頭へ-
|
