Trendmicroさんのリージョナルトレンドラボにお邪魔してきた

IT セキュリティ TREND

会社のメンバー4名とトレンドマイクロのリージョナルトレンドラボにお邪魔してきた。ウイルス対策の最前線とその緊急性、大変さが見れたのはとてもよかった。(写真が

やっぱり、とやかく言う前に、中の人と交流すると色々イメージも変わるよね。みなさんにもラボ訪問をお勧めします!
その中でも、平原さんたちが言われていたのが、トレンドマイクロはパターンファイルに固執しているわけではない
我々のVisionを達成するために、色々な手法を検討し実装していく!というのがウイルス対策最前線でビジョンと方向性がよく見えてすごく良かった。

なかなかユーザまでには理解されないとは思いますが、頑張ってください!応援しています(一応とれんど☆フリークの日記だしw)

ってことで、ラボ訪問して、まずは現在のウイルスの一般的な話と、リージョナルトレンドラボができた経緯とかを説明してもらった

リージョナルトレンドラボ設立の背景

  • 脅威傾向の変化
    • マルウエアの作成者の動機変化
      アウトブレイク型のウイルスが、自己顕示から、営利目的へ
    • マルウエアが単機能だったりする(ダウンローダだけだったり)
      全体像が見えにくい
  • モジュール化
    • 負荷が低くて、パソコン負荷が低くて、ユーザが気付かない
    • ウイルス対策製品を停止する
    • rootkit
  • アンダーグラウンドもマーケットも分業化が進んでいる
    技術者、マルウエア提供者、情報利用者、仲介者、攻撃者と分業している
    • Webからの脅威
      1時間に720個の新しい検体がきている
      パターンマッチでは、限界がある
    • スパムのハイパーリンクとか、SQLインジェクションUSBメモリ
      DLOADERがウイルスをWebからダウンロードを連続して行う
    • シーケンシャルアタック(複雑で連続的に侵入、複合的な侵入方法)
    • 攻撃対象が、不特定多数から特定属性を限定した人に出している(標的型攻撃)
      特定をターゲットにしてクリック率を上げたりしてる(標的型よりもうちょっと広い意味でクリックターゲッティング)

そこでトレンドリージョナルトレンドラボの登場

トレンドラボは、フィリピンに存在、オフィシャルパターンはそこで作成。
最近はターゲット型の攻撃があるので、より各地域に特化した研究機関を準備
日本のリージョナルトレンドラボは、2007年05月に設立
リージョナルとトレンドラボでは特にやっていることに差は無いが、日本および、日本の状況に対応できるようにしている
日本のみの一時パターンファイル(バンデージパターンファイル)の作成をリージョナルトレンドラボで行っている

  • 情報収集
    • Web Threat Crawlerを取ってきている
      不正URLリストをクロールしてファイルを落としてくる
      随時パターン対応
  • P2Pクローラ
    地域のみで使われているP2Pネットワークを監視して、キーワードで検索
  • Honey Client
    • バーチャル環境でファイルを実行して、不正ファイルを収集する
      アクセスするURLを取れるので、Web Crawlerにフィードバック
スパムクローラや、BOT用のハニーポットを集中管理して、データを出す

サンプル(検体)はどこから?

  • 以前は、企業からの提供が多かったが最近はWeb Crawlerがほとんど7割程度

対策は?

  • ソリューション
    • 大部分は自動解析システムで解析している
    • 実際に自動解析できないものは手を動かす

サンプルからみた、2008年の脅威傾向

  • 活発な攻撃グループは1か月単位でサイト移転
    • 不正サイト供給国は、中国、ロシア、アルゼンチン、フランス、ポーランド、イタリア・・・
    • 攻撃者の狙いは、オンラインゲームとかで比較的簡単に金銭に代わるものが多い
    • オンラインゲーム関連はアジアが中心(リネージュ

続いてトレンドマイクロプロダクトの紹介がありました。

懐かしのプロダクトがでまくって、涙でそうでしたよw、ぁ、懐かしのウイルスとかw

パターンファイルの歴史

 パターンファイルはVISIONを実現するための一つで、こだわりはない。
 手段であって、VISIONを実現できるならさまざまな手段を考えている

Trendmicroとしては、ウイルスが動作いないことが第一優先である
製品によっては、ウイルスを暗号化して隔離するようなものもある

プロダクトの紹介