第5回 “感染後をケアするエンジン”の必要性

梅橋一充
株式会社フォティーンフォティ技術研究所
技術本部 沖縄研究開発部 部長
2010/8/11

　苦労した「デバイスドライバでの実装」

　ヒストリカル・レメディエーションは、大きく分けて2つのデバイスドライバと、1つのサービスプログラムから構成されている。ファイルやレジストリ操作を極力バイパスされにくいように、また、履歴データの改ざんを防ぐために、重要な処理はユーザーランドでの実装を避け、デバイスドライバで実装している。

　このデバイスドライバ開発に関しては、いささか苦労させられた。

　リサーチ段階で、Windowsが提供しているコールバックルーチンで実現可能だと思っていた機能が、いざ開発を行ってみると、Windows XPでは一部の機能がサポートされておらず、マルウェアが行ったレジストリ操作の詳細を追えないことが判明した。市場のシェアを考えると「Windows XPはサポートしません」といえるはずもなく、新ロジックを検討して実装するしか道は残されていない。

　開発期間が短いせいもあって、実装途中でのロジック変更は厳しいものだった。コードフリーズの予定日に間に合わないのではないかという焦燥感に襲われた。相手はデバイスドライバ、私の心の焦りをあざ笑うかのようにブルースクリーンが連発する。デバイスドライバの開発経験がある方ならご存じだと思うが、デバイスドライバは一般的なプログラムと違い、カーネルモードで動作するため、単純なプログラミングのミスでOSがクラッシュし、BSOD（Blue Screen of Death）と呼ばれる青画面が表示される。

　幸い、スケジュール内に実装が完了し、私の顔まで真っ青になることはなかった。

　ヒストリカル・レメディエーションの今後

　ヒストリカル・レメディエーションには、まだまだ進化の余地がある。

　例えば、マルウェアがデータの書き換えを行う直前に、ファイルをバックアップしておけば、感染したPCをフォーマットすることなく、履歴情報を基に必要最低限のコストでロールバックすることができる。これは、ウイルス感染したPCの復旧作業を行うシステム管理者の負荷を軽減するのに役立つだろう。

　ヒストリカル・レメディエーション・テクノロジーだけではマルウェアを検知することはできないが、yaraiの検出エンジンと連携することで、感染後のソリューションとして最大の効果を発揮する強力なエンジンである。

　今後も研究と検証を重ね、さらなる進化を遂げたいと考えている。

2/2

Index
“感染後をケアするエンジン”の必要性
	Page1 ウイルスを完全駆除せよ！ ヒストリカル・レメディエーション！ ウイルスの足跡を追う
	Page2 苦労した「デバイスドライバでの実装」 ヒストリカル・レメディエーションの今後

Profile

梅橋一充（うめはし　かずみ） 株式会社フォティーンフォティ技術研究所 技術本部 沖縄研究開発部 部長 マルウエア解析、Windowsパッチ差分解析、脆弱性／exploit／インシデント情報収集、セキュリティエンジニア技術研修セミナー講師、セキュリティ関連プロダクトの開発に従事。 自社製品のウイルス対策ソフトウエア「yarai」では、主要開発メンバーとして、ファイルやレジストリの変更履歴を追跡してマルウエアを駆除する「ヒストリカル・レメディエーション」機能を担当。また、「yarai」を大規模システムで運用するための管理ソフトウエアの開発では、プロジェクトリーダーを担当。 現在は沖縄R&Dセンターにて、Webマルウエア検知システムに関する研究開発に従事。

セキュリティを形にする日本のエンジニアたち 連載インデックス

＠ITメールマガジン　新着情報やスタッフのコラムがメールで届きます（無料）