Trendmicroさんのリージョナルトレンドラボにお邪魔してきた
会社のメンバー4名とトレンドマイクロのリージョナルトレンドラボにお邪魔してきた。ウイルス対策の最前線とその緊急性、大変さが見れたのはとてもよかった。(写真が
やっぱり、とやかく言う前に、中の人と交流すると色々イメージも変わるよね。みなさんにもラボ訪問をお勧めします!
その中でも、平原さんたちが言われていたのが、トレンドマイクロはパターンファイルに固執しているわけではない
我々のVisionを達成するために、色々な手法を検討し実装していく!というのがウイルス対策最前線でビジョンと方向性がよく見えてすごく良かった。なかなかユーザまでには理解されないとは思いますが、頑張ってください!応援しています(一応とれんど☆フリークの日記だしw)
ってことで、ラボ訪問して、まずは現在のウイルスの一般的な話と、リージョナルトレンドラボができた経緯とかを説明してもらった
リージョナルトレンドラボ設立の背景
- 脅威傾向の変化
- モジュール化
- アンダーグラウンドもマーケットも分業化が進んでいる
技術者、マルウエア提供者、情報利用者、仲介者、攻撃者と分業している
- Webからの脅威
1時間に720個の新しい検体がきている
パターンマッチでは、限界がある- スパムのハイパーリンクとか、SQLインジェクション、USBメモリ
DLOADERがウイルスをWebからダウンロードを連続して行う- シーケンシャルアタック(複雑で連続的に侵入、複合的な侵入方法)
- 攻撃対象が、不特定多数から特定属性を限定した人に出している(標的型攻撃)
特定をターゲットにしてクリック率を上げたりしてる(標的型よりもうちょっと広い意味でクリックターゲッティング)
そこでトレンドリージョナルトレンドラボの登場
トレンドラボは、フィリピンに存在、オフィシャルパターンはそこで作成。
最近はターゲット型の攻撃があるので、より各地域に特化した研究機関を準備
日本のリージョナルトレンドラボは、2007年05月に設立
リージョナルとトレンドラボでは特にやっていることに差は無いが、日本および、日本の状況に対応できるようにしている
日本のみの一時パターンファイル(バンデージパターンファイル)の作成をリージョナルトレンドラボで行っている
サンプル(検体)はどこから?
- 以前は、企業からの提供が多かったが最近はWeb Crawlerがほとんど7割程度
- 90%程度プロアクティブにとれている
対策は?
- ソリューション
- 大部分は自動解析システムで解析している
- 実際に自動解析できないものは手を動かす
サンプルからみた、2008年の脅威傾向
続いてトレンドマイクロプロダクトの紹介がありました。
プロダクトの紹介
- ウイルスバスターⅡ&ウイルスバスターPRO
- ウイルスバスターVer.5
- YankeeDoodle
- Cascade
- ウイルスバスター95
- XM_LAROUX
- パターンファイルのダイアルアップダウンロード
- サイズは?フロッピー1枚に十分入る
- ウイルスバスター97
- MacroTrapでエンジンにてヒューリスティックに検出
- X97M_LAROUX
- ウイルスバスター98
- PE_CIH
- TROJ_SKA(Happy99)
- ウイルスバスター2000
- Windows2000対応
- 差分アップデート
- W97M_MELISSA
- ウイルスバスター2001
- WindowsXP対応
- WORM_NIMDA(このあたりからイエローでウイルス侵入の調査シェルを出したりしていましたねw)
- WORM_HYBRIS
- VBS_REDLOF
- ウイルスバスター2003
- 無線LAN対応
- WORM_KLEZ
- ウイルスバスター2004
- ウイルスバスター2005
- ウイルスバスター2006
- スパイバスター機能統合
- 3台にインストール可能
- ウイルスバスター2007
- Webレピュテーション
- 不正変更の監視
- NETSKY
- ウイルスバスター2008
- 不正変更の監視
- ウイルスバスター2009
- 個人情報保護機能強化
- WORM_AUTORUN
- PE_VIRUT
- 原田ウイルス
- 偽セキュリティソフト