新井悠の戦略
-
マルウェア解析でも効果を発揮する仮想化テクノロジ
マルウェア解析の現場では……
筆者は仕事柄、マルウェア解析という作業を行うことがあります。その言葉の響きとは裏腹に、これは非常に地味な作業なのです。大量のアセンブラ命令を追い、その検体がいったいどのような感染動作を行うのか?などを、なるべく短時間に明らかにしなくてはならなりません。
特に厄介なのは、たとえば今般「Gumblar」と呼ばれている一連のウェブ改竄&パソコン感染を引き起こすマルウェアで使用されているような、特定のソフトウェアのセキュリティホールを悪用するタイプのものです。
この場合、その悪用するセキュリティホールがどのようなプラットフォームOSの、どのソフトウェアの、どのバージョンで発現するかを、ある程度特定しなければならなりません。言い換えると、こうしたソフトウェアのセキュリティホールが悪用されることが、一般のパソコン利用者に影響を及ぼす可能性を推し量る作業と言えます。
最悪なのは、できる限りのOSとソフトウェアのバージョンの組み合わせを試しても、まったくウンともスンともいわないケースです。こうなってくると、セキュリティホールの発生メカニズム自体にも調査範囲を拡大することとなり、さらに時間というコストをかけてしまう可能性が高くなってしまいます。
このような(大小はあるでしょうが)問題にさいなまれるのが、マルウェア解析者の常となっています。
事前にイメージを用意して解析時間を短縮
こうした問題を解消してくれる一つの手段が仮想化テクノロジです。特にVHDのような技術は、上記の「さまざまなOSと様々なバージョンのソフトウェア」の組み合わせのイメージをあらかじめ複数用意することで、解析時間の短縮に役立だせることができます。同じことは、一般的なソフトウェア開発のテスト環境にも応用できるでしょう。
新井悠(株式会社ラック サイバーリスク総合研究所 先端技術開発部 部長)
2000年株式会社ラック入社。セキュリティ診断サービス部門を経験したのち、コンピュータセキュリティ研究所にて脆弱性の分析、R&D部門の統括、ネットワークセキュリティ脅威分析などのコンサルティング業務やセキュリティ・アドバイザを経て、現職。
著書・監修書として「ネットワーク攻撃詳解 攻撃のメカニズムから理解するセキュリティ対策」(ソフト・リサーチ・センター)、「クラッキング防衛大全 Windows 2000編」(翔泳社)、「インシデントレスポンス」(翔泳社)など。
- 2003年 情報処理推進機構「情報システム等の脆弱性情報の取扱いに関する研究会」委員
- 2004年 総務省「次世代 IPインフラ研究会」セキュリティWG 構成員
- 2005年 内閣官房NIRT(緊急対応支援チーム)研修講師
- 2006年 経済産業省「ウェブアプリケーションセキュリティガイドライン策定WG」委員
- 2007年 総務省「次世代の情報セキュリティ政策に関する研究会」構成員を務める
-
VHDは仮想マシンのオマケ?否、主役になる可能性がある
私はいくつかの媒体に技術記事を寄稿しているが、仮想マシンの検証にはずいぶん苦労する。ほとんどの機能は「Virtual PC」などの仮想マシンを使って検証を行うのだが、「Hyper-V」を含めた仮想マシンの検証だけは、仮想マシンではできない...(続きを読む)
-
マルウェア解析でも効果を発揮する仮想化テクノロジ
筆者は仕事柄、マルウェア解析という作業を行うことがあります。その言葉の響きとは裏腹に、これは非常に地味な作業なのです。大量のアセンブラ命令を追い、その検体がいったいどのような感染動作を行うのか?などを、なるべく短時間に明らかにし...(続きを読む)
-
ウェブアプリケーション開発でのVHD活用シナリオ
僕は日常的にWindowsを利用していないことから、VHDについては馴染みが薄いが、Mac OSでいう.dmgの概念と同じようなものとして捉えるのがよいようだ。フィードパスではウェブアプリケーション中心の開発を行っていることから、ウェブアプリケーション開発でのVHDの効果的な利用方法について...(続きを読む)
-
VHDのいいところはパフォーマンスが優れている点
IT系の仕事をしていて、普段は使わないけど、意外に必要になってくるのが複数のOS。ソフトウェアを検証する際に、インストールは必要だけど検証のためだけに仕事の環境に導入したくない。そういったことがままあるからだ。
そういうとき、WindowsであればVirtual PC、MacならParallels Desktopを使って...(続きを読む)
-
VHDの活用で削減できるコスト、できないコスト
VHDのような仮想ディスクを導入した場合、削減可能なコストとしては、テストや動作検証を行う際の作業工数:作業効率UPに伴う人件費削減、ハードウェアの導入費用:初期費用の...(続きを読む)
-
仮想環境では試せない性能テストも容易に
仮想化技術の普及で仕事が楽になったものの1つが、アプリケーションの動作テスト環境の構築であることは間違いないでしょう。さまざまなOSのバージョンに、さらにパッチのバージョンを組み合わせ、その上クライアント/サーバ型のソフトウェアであれば、さらに複数のデータベースのバージョンを組み合わせたりと、多数の環境を用意するには、物理的なマシンやハードディスクで環境を...(続きを読む)
-
コストと気持ちの両方に効くVHD
Windows 7とWindows Server 20008 R2でサポートされた「VHD」、便利に活用しています。自分でイメージを作成する場合は、固定長と可変長のどちらを選択するかでパフォーマンスが多少異なるなど、運用にあたってのノウハウが必要となりますが、Microsoft TechNetで配布されている評価版ソフトウェアを利用するかぎり、ただマウントするだけですから、造作はありません。
エンドユーザーの立場で考えた場合...(続きを読む)
-
インストールという付加価値のない作業からの開放
Windows Server 2008 R2およびWindows 7で、ブート可能なVHDが使えるようになったのは...(続きを読む)
こちらでは、読者から寄せられた意見をピックアップして紹介します。
各分野の賢人と、読者の意見が集う6つのテーマ一覧をぜひご覧ください。