ユーザのPC に潜む未知の不正プログラムを発見・駆除する「マルウェア対策ユーザサポートシステム」を開発

今日、数千から数万に上る未知のマルウェアが日々生み出されています。さらに、それらのマルウェアは自己防衛機能を備えていたり、ゼロデイ攻撃を行うなど、巧妙化・高度化を続けています。そのため、既知のマルウェ アの実行コードや攻撃パターンの情報を利用して検知・駆除する従来のウイルス対策ソフトウェアでは、新たに生まれ続ける未知のマルウェアに十分に対応することが難しくなりつつあります。

本研究は、ユーザPCに侵入した未知のマルウェアを効率的に検知・駆除するシステムを開発し、従来のウイルス対策ソフトウェアの機能を補完することを目的としています。

マルウェア対策ユーザサポートシステムでは、今回新たに開発したクライアントエージェントと呼ばれるソフトウェアにより、ユーザPC内部からマルウェアと疑われる実行コードを探し出し、nicterミクロ解析システムと協調動作して、その実行コードの内部挙動や外部との通信を解析します。解析の結果、実行コードをマルウェアと判定した場合、解析結果を利用してマルウェアを簡易的に駆除するプログラムを自動生成し、ユーザPCに配布、駆除処理を行います。これにより、ユーザPCの負荷を抑えつつ、既知/未知を問わずマルウェアを効率的に発見し、短時間で駆除する仕組みを実現しました。

本システムの動作の詳細は、〈別紙1〉「マルウェア対策ユーザサポートシステム」の動作イメージをご参照ください。

ウイルス、ワーム、ボット、スパイウェア等、情報漏えいやデータ破壊、他のコンピュータへの感染等の有害な活動を行うソフトウェアの総称で、「悪の～」という意味を持つ接頭語の「mal～」とソフトウェアの「ware」を組み合せた造語。

nicterのサブシステムの一つで、マルウェアの完全自動解析システム。外部システムから入力された実行コード等を隔離環境の中で動作させ、数分のオーダーでその動作を解析し、解析結果をデータベースに蓄積するとともに収集元の外部システムへ返信する。

本研究開発はNICTからの委託研究「マルウェア対策ユーザサポートシステムの研究開発」として2009年より日立とKDDIが実施している。日立が主体となり要素技術の開発等を行い、KDDIがシステム構築や実証実験の準備を進め、NICTのnicterミクロ解析システムを活用して実証実験を行う。

PCに侵入したマルウェアが、ウイルス対策ソフトウェアによる検知・駆除を回避するために、ファイル構造を暗号化したり、OSを改ざんする機能。

OSやアプリケーションソフトウェアにセキュリティ上の脆弱性が発見された際に、ソフトウェアベンダ等による脆弱性の修正コードが公開されるよりも前に、その脆弱性を悪用して行われる攻撃。修正コードが公表された日を1日目とみなし、それ以前（ゼロまたはマイナスデイ）に攻撃が行われることからこう呼ばれる。

PC上で動作する、実行形式のプログラム。Windows®ではPE(Portable Executable)などが該当する。
※Windowsは、米国Microsoft Corporationの、米国、日本及びその他の国における登録商標です。

マルウェアが発見された際に、その活動を無効化するとともに、マルウェアが生成・改ざんしたレジストリ・ファイルなどを、削除・修復し、PCをマルウェア感染前の状態に復旧する動作。

マルウェアをPCから検知、駆除するソフトウェア。PC内に常駐し、ウイルス等の特徴を記録したデータファイル（「パターンファイル」または「定義ファイル」「シグネチャ」と呼ばれる）と、PC内部でやり取りされるデータを比較し合致した場合は駆除や隔離（ファイルをアクセスできない領域へ移動）を行う製品が多い。

ユーザPC上に常駐し、PC内部に不審な実行コードが存在する場合に、本システムのユーザサポートセンタに実行コードを送信し、マルウェアであるか否かの解析を依頼する。また、ユーザサポートセンタ側で、当該実行コードがマルウェアと判定された場合は、サーバから配信されてくる駆除ツールを受信・実行し、マルウェアを駆除する。