セキュリティを形にする日本のエンジニアたち


第4回 ウイルスはなぜウイルスなのか


株式会社フォティーンフォティ技術研究所
技術本部 ソフトウェア開発部 シニアソフトウェアエンジニア
永田哲也

2010/6/14
安全なプログラムとコンピュータウイルスとの違いは何か? スタティック分析エンジンは、そのリサーチから始まった(編集部)

 スタティック分析――ウイルスはなぜウイルスなのか


フォティーンフォティ技術研究所
技術本部 ソフトウエア開発部
シニアソフトウエアエンジニア
永田哲也

 熟練の刑事は群集の中からでも的確に不審人物をかぎ分けられるという――私が担当したスタティック分析エンジンは、正にこういった嗅ぎ分けをプログラムに対して行うものであった。従来のウイルス対策ソフトがパターンマッチングによってウイルスを発見するのに対し、yaraiではヒューリスティックという手法のみで、確実な証拠を得ずして審判を下す必要があるのだ。

 ウイルスとそうでないプログラムには違いがあるのか。スタティック分析エンジンのリサーチはここから始まった。そして、このリサーチこそがすべてであった。ウイルスといえども、しょせんは人の手によって作られたプログラムである。ウイルスと一般的なプログラムは「何が違うのか」を徹底的にリサーチをする必要がある。

 プロジェクトはゼロからスタートしたため、リサーチ開始当初、実は十分なウイルス検体が社に存在していなかった。手持ちの検体はWebサイトなどから入手できた数万種程度で、少々心もとない。しかしないものは仕方がない。ある分だけで、まずはリサーチを開始する。

 ウイルスではないプログラム(正常系アプリケーション)は、Webで公開されているフリーソフトなどを中心に収集。こちらはすぐに数十万種類をそろえることができ、プロトタイプ開発のための分析にはちょうどよい量になった。

 ウイルスがやりたいことが見えた

 リサーチ開始から1カ月くらいだろうか、ウイルスの実行ファイルタイプの傾向や正常系アプリのファイルの傾向がつかめてきた。ウイルスに圧倒的に多いのは実行ファイルで、その割合は実に90%以上。また、ウイルスの特徴として、自身を解析し難くするために圧縮・暗号化してあるものが多いことも判明した。さらに、開発手法や開発ツール、プログラム構造、想定される動作など、ウイルス特有のさまざまな特徴が見られた。これら傾向や特徴をロジックに落とし込み、スタティック分析エンジンのプロトタイプ開発を進めて行った。

 ちょうど同時期、社内の研究開発プロジェクトとして進んでいたWebマルウエアの自動収集システムが完成し、運用が開始された(このシステムは、のちに検出通知機能に関する改良が加えられ、「Origma+」としてリリースされた)。

【関連記事】
「あえて感染」してWeb感染型ウイルスを発見、FFR
http://www.atmarkit.co.jp/news/200910/09/ffr.html

 これを機に、社内に膨大な数のウイルスが日々集まるようになった。さらに、世界中のさまざまなセキュリティ企業や研究機関とのパートナーシップが進行し、集まるウイルスの数が爆発的に増えていった。

 この時点でスタティック分析エンジンのプロトタイプが完成したため、集まった数百万種類のウイルスに対し、スキャンを試みた。まったくの未分析検体ではあったが、結果90%程度の検出率となり、それまでの研究に一定の成果を確認することができた。

 私は検出率のさらなる向上を目指すべく、膨大な数のウイルスコレクションをひたすら分析し続けた。何か特徴と思われる個所があれば即座にロジックを追加し、検出率に変化がないかチェックを繰り返した。

 リサーチを進めていくうちに、ウイルスがやりたいことが少しずつ判ってきた。ウイルスの挙動にはある程度特徴があり、その挙動を可能にするプログラムの実装は、プログラムを静的に分析することである程度推測できる。また、ウイルス作者の意図や目的、技術レベルなどを垣間見ることもあった。

 また、WinnyやShareなどのPtoPネットワークで大量に発生している暴露ウイルスの検出にも力を入れた。暴露ウイルスの特徴としてビデオファイルなどに偽装していることが多いが、偽装方法に特徴を持っているものも多く、全般的に簡単に検出できるロジックを作成することができた。

フォティーンフォティ技術研究所 オフィスの様子
1/2

Index
ウイルスはなぜウイルスなのか
Page1
スタティック分析――ウイルスはなぜウイルスなのか
ウイルスがやりたいことが見えた
  Page2
誤検出問題――守る側にも変化が必要


セキュリティを形にする日本のエンジニアたち
連載インデックス


Security&Trust フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)
- PR -

注目のテーマ

Security & Trust 記事ランキング

本日 月間
ソリューションFLASH