ニュース / キーパーソン
【VB 2001 Vol.5】ウイルス作者とハッカーがセキュリティー情報を共有し始めた──シマンテックのウェファー氏
2001年10月1日
コンピューターウイルスに関する国際会議“Virus Bulletin 2001”会場で、米シマンテック社シマンテック・セキュリティ・レスポンスのシニアディレクター、ビンセント・ウェファー(Vincent Weafer)氏に単独インタビューする機会を得、同氏がVB 2001で発表した“デジタル免疫システム”や、最近のウイルスの傾向についてお話を伺った。
ウェファー氏が属する“シマンテック・セキュリティ・レスポンス”は、9月6日(米国時間)に発表したばかりの、コンピューターウイルスとネットワークセキュリティーに関する研究やコンサルティングを行なう組織だ。ウェファー氏は米、欧、日など世界中にあるシマンテック・セキュリティ・レスポンスを実質的に統括する立場にある。
 |
米シマンテック社シマンテック・セキュリティ・レスポンスのシニアディレクター、ビンセント・ウェファー氏 |
シマンテックはこれまで、コンピューターウイルス対策の専門研究チームとして“シマンテック・アンチウイルス・リサーチ・センター(SARC:サーク)”を持っていた。しかし、“Code Red(コード・レッド)”や“Nimda(ニムダ)”といった最新のウイルスは、メールシステムやウェブサーバーのセキュリティーホールを利用するなど、これまでのウイルスのように“プログラムからプログラムに感染する”というものから、ネットワークそのものの脆弱性をも利用するものに変わってきたため、従来セキュリティー対策とされてきた分野も含めて総合的な対策ととる必要が出てきた。このため、SARCにネットワークセキュリティー関連の研究チームを加える形でシマンテック・セキュリティ・レスポンス(※1)を作ったのだとしている。
※1
シマンテック・セキュリティ・レスポンスのチームには、シマンテックが'99年に買収した電子メールのコンテンツフィルタリング関連技術を持つ米URLabs社、2000年に買収した企業ネットワークに関する総合的なセキュリティーコンサルティングを行なう米L-3 Network Security社、同じく2000年に買収したファイアーウール関連のハードウェア技術を持つ米アクセントテクノロジーズ社(AXENT Technologies)などの研究者が加わっているという。
[編集部]
VB 2001ではシマンテックの“デジタル免疫システム”(Digital Immune System)について発表されましたが、概要について教えてください。
[ウェファー氏]
シマンテックのデジタル免疫システムは、10年ほど前から行なっている、米IBM社のワトソン研究所とシマンテックの共同開発によって生まれたもので、'98年からはシマンテックのが単独で研究しています。シマンテックには顧客企業から毎日「ウイルスではないか分析してほしい」というサンプルがたくさん送られてきます。このサンプルファイルを解析し、対策方法を示したり、ワクチンプログラムを送ったりという作業を自動的に行なうのがデジタル免疫システムです。ウイルスに対して人間の体の免疫システムのように働く、ということです。
[編集部]
解析依頼はどのくらいの数になるですか?
[ウェファー氏]
デジタル免疫システムを動かし始めた当初は、フロッピーディスクが月に100〜200件程度送られてくる程度でしたが、現在は毎月7〜10万件もの依頼が来ます。ファイル数は1件あたり1〜数十にもなるので全体として大変な数です。デジタル免疫システムは、こうした依頼のうちおよそ95%について自動的に対応しています。
ウイルスが世界のあちこちで発生する事態への対応もなされており、たとえばグローバルな銀行の東京の支店からウイルスが送られてきた場合に、その銀行の欧米の支店にも対策ファイルを送付する、といったことが可能です。
 |
VB 2001で、“デジタル免疫システム”について発表するウェファー氏 |
[編集部]
デジタル免疫システムのハードウェアはどのようなものですか?
[ウェファー氏]
Windows NTとLinuxが稼働する複数のサーバーで構成される、クラスターシステムになっています。
[編集部]
デジタル免疫システムはどのようなウイルスにも対応できるのですか?
[ウェファー氏]
未知のウイルスに関しては対応できていません。基本的には既知のウイルスに対応するもので、(マイクロソフトOfficeなどの)マクロウイルスにも対応します。未知のウイルスは1日あたり5〜15件くらいあり、これらのウイルスには研究者が対応しています。この未知のウイルスに関する数字はここ2年くらい変わっていません。ただ、最近のウイルスはその性質が変わってきています。
[編集部]
最近のウイルスといえばCode RedやNimdaが猛威をふるいましたが、以前のウイルスとはどのように変わってきているのですか?
[ウェファー氏]
'80年代のウイルスは“BIOSウイルス”や“BOOTウイルス”と呼ばれる種類のものでした。その後、'90年代の半ばにMacroウイルスが登場し、'90年代終わりには“Merissa”や“I-love-You”などのEメールとスクリプトを組み合わせたものになりました。そして今年になって、さらに複雑なCode RedやNimdaのような“Win32ウイルス”が登場しました。感染のスピードも、以前のフロッピーディスク経由からEメール経由となり、圧倒的に速くなっています。MerissaやI-Love-Youは世界に広まるのに数時間しかかかりませんでした。
今年登場したウイルスに特徴的なのは、メールなど間接的な方法でなく、ネットワークを直接の感染経路として利用するということです。最も良い例が、ごく最近現われたNimdaです。Nimdaは大量にメールを送って感染を広げる“マスメーラー”の特徴を持つとともに、ネットワーク経由でも感染する“ネットワークインフェクター”という特徴も持つもので、非常に速く広まりました。ですから、メールゲートウェイだけでブロックしても、ネットワークを通じて広がってしまうわけです。ユーザーがネットワークに常に接続するようになり、危険性はずっと大きくなっています。また、Nimdaには感染が広まるのに、プログラムを実行しなくても、メールを開くだけで自動的に広まっていくのも特徴です。
6月に“Leaves(リーブス)”というワームが現われましたが、これは“SubSeven(サブセブン)”という別のウイルスが作った“バックドア”(※2)を利用するもので、まずSubSevenに感染したパソコンを探し、バックドアから侵入するというものです。このように、ウイルス作者とハッカーが協力するようになっているというのが今年の傾向です。
※2
バックドア(裏口):OSのセキュリティー機能を回避して、オーナーに気づかれずにシステムに侵入するための入り口(セキュリティーホール)。
 |
ハッカーとウイルス作者が情報共有するようになったことで、危険度が大きく増したというウェファー氏 |
[編集部]
ウイルス作者とハッカーはどのような点で協力しているのでしょうか?
[ウェファー氏]
セキュリティーホールやOSの脆弱性に関する情報を共有しているのです。ウイルスは、ハッカーがOSに侵入するためのノウハウを使ってコンピューターに侵入して感染するようになっています。こうしたハッカーの知識がウイルス作者に伝わることで、ハッカーの数よりも遙かに多くのウイルスやワームがセキュリティーホールを狙うようになりました。セキュリティーホールが見つかってから、それを使うウイルスが登場するまで、以前は10ヵ月〜1年くらいかかりましたが、Code Redではわずか1ヵ月でした。
Code RedやNimdaといったウイルスの感染速度に関して、研究者がいくつかの発表を行なっていますが、それによると、こうしたウイルスが次のコンピューターに感染するための平均時間はわずか15分ということです。
[編集部]
すると、今後まだまだNimdaのようなウイルスが登場するということでしょうか?
[ウェファー氏]
Code RedやNimdaの亜種のウイルスが今後数ヵ月の間に次々に登場すると予想しています。また、さらに強力な仕組みを持ったウイルスが、大量発生することが考えられます。
[編集部]
デジタル免疫システムで、こうしたウイルスへの対応はどのように考えていますか?
[ウェファー氏]
今後はなんらかの形で、ウイルスの流行を予測し、早期に企業に対して警告するような仕組みを作ろうとしています。
昨年までは、大量感染するようなウイルスは、ほとんどアメリカで発生し、電子メールを使って広まるということで、米国での発生を見て対応することもできた。また、それらの電子メールを利用したウイルスでは、添付ファイルをクリックしなければ感染することはなかった。それが、Nimdaではメールを開いただけ、あるいはメールを介さずにネットワークを経由して、非常に短時間で広まるようになっている。日本の企業ではまだまだウイルス対策への意識が低く、せっかく会社ぐるみで導入していても、すべてのパソコンにウイルス対策ソフトがインストールしていなかったり、定義ファイルを更新していなかったりすることが多いという。“IT革命”のもとで、家庭も含めてネットワークが高速化し、常時接続環境が急速に増加している現在、企業においても、家庭においても、ウイルスの脅威に対してもっと敏感になることが必要だ。
(編集部 佐々木千之)
| ![ASCII24 - [Main Menu]](/images/2005/news_menu_01.gif)
![[Menu 2]](/images/2005/news_menu_02_blogmag.gif)
![[PR]](/images/2003/pr_icon.gif){kind=icon}
