セキュリティ企業のフォティーンフォティ技術研究所(以下、FFR)は2009年9月、従来とは異なるアプローチで「Webウイルス」攻撃の被害を最小限に抑えるツール「Origma+(オリグマ・プラス)」を開発した。特徴は“人柱型”であること。パターンマッチングでウイルスを検出するのではなく、ツールが実際にウイルスに感染するかどうかで、攻撃の有無を検出する。

 同ツールを活用するのは、主にWebサイトを運営する企業やプロバイダー。企業は、このツールを使うことで、自社サイトに未知のWebウイルスが埋め込まれた場合でも検出できるという。「既に数社から引き合いがある」(FFR社長の鵜飼裕司氏)。

 ここ数年、企業などが運営するWebサイトのページを改ざんし、Webウイルスを埋め込む攻撃が相次いでいる。ここでのWebウイルスとは、ユーザーをウイルスサイトに誘導するプログラムのこと。ウイルスサイトでは、Webブラウザーやプラグインなどの脆弱(ぜいじゃく)性を悪用するウイルスをダウンロードさせるので、脆弱性のあるパソコンでは、改ざんページにアクセスするだけでウイルスに感染する恐れがある。

従来の手法が通用しない

 Webウイルスを埋め込まれると、いつもアクセスしているサイトが、危険なサイトに一変する。ユーザーにとっては脅威だ。だがそれ以上に頭を痛めているのが、Webサイトを運営する企業。ウイルス配布に加担することになり、信用の低下は免れない。ネットでビジネスを展開している企業にとっては死活問題になる。

 とはいえ、対策は容易ではない。新しいWebウイルスが次々と出現するため、既知ウイルスとの照合によりウイルスかどうかを判断する従来のパターンマッチングでは検出できないからだ。

 そこで今回、FFRが採った手法は、脆弱性のあるパソコン環境で、実際にアクセスしてみること。そのためのツール(ソフトウエア)がOrigma+だ(図1)。ツールを利用するのは、主にサイト運営企業。企業では自社のパソコンにツールをインストールして使用する。

仮想マシン上に脆弱な環境を構築、異常を検出したら通知
図1 「Origma+」は、仮想環境を利用するソフトウエア製品。ゲストOSとホストOSにインストールするコンポーネント群で構成される。ゲストOS のコンポーネントは、脆弱性のあるブラウザーなどで監視対象サイトに定期的にアクセス。予期しないプログラム実行やファイル作成を検出すると、ホストOS のコンポーネントはサイト管理者に通知。それを受けて管理者は、該当ページを閉鎖するなどして被害を最小限に抑える
[画像のクリックで拡大表示]

 ツールは仮想環境を利用する。パソコンに、ツールのホストOS用コンポーネントと、仮想マシン(仮想化ソフト)をインストールする。仮想マシン上には、人柱となるゲストOSを用意。ゲストOSには、ツールのコンポーネントと、脆弱性のあるWebブラウザーやプラグインなどをインストールしておく。ゲスト OSは複数同時に稼働できるので、脆弱性のある環境を複数用意できる。

 ゲストOS用コンポーネントは、インストールされているWebブラウザーを使って、監視対象サイト(通常は自社サイト)を定期的にアクセス。対象サイトが改ざんされた場合には、ウイルス配布サイトに誘導されて、ウイルスに感染する。

 感染により、ゲストOS上では予期しないプログラムが実行されたり、ファイルが作成されたりする。Origma+のコンポーネントはそれらを異常として検出。アクセスしたサイトが改ざんされている可能性が高いとして、サイト管理者にメールなどで通知する。ウイルスに感染したゲストOSは、そのウイルスを回収した後、リセットして監視を続行する。

 監視対象サイトの数にもよるが、「1秒に1回はアクセスできる」(鵜飼氏)。FFRは、回収したウイルスの分析や駆除ツールの作成なども別途請け負うという。

 Origma+の料金は、インストールするパソコンの台数によって単価が変わる。例えば、1台では250万円だが、10台では1台当たり160万円。

出典:日経パソコン 2009年9月14日号
記事は執筆時の情報に基づいており、現在では異なる場合があります。