フォティーンフォティ技術研究所は2009年4月28日,ウイルス対策ソフト「FFR yarai(やらい)」を発表した(関連記事)。現在国内で販売されているウイルス対策ソフトのエンジンは外国製のものが多く,国産のエンジンによるウイルス対策ソフトへの本格的な参入は絶えて久しかった。WinnyやShareの暗号を解読し,Winnyのセキュリティ・ホールを発見したセキュリティ技術者としても知られるフォティーンフォティ技術研究所 代表取締役社長 鵜飼裕司氏に聞いた(聞き手はITpro編集 高橋信頼)。


なぜウイルス対策ソフトに参入したのですか。

鵜飼裕司氏
鵜飼裕司氏
[画像のクリックで拡大表示]
FFR Yarai
FFR Yarai
[画像のクリックで拡大表示]

 新しいマルウエア(ウイルスやトロイの木馬など悪意のあるソフト)を,既存のウイルス対策ソフトがことごとく検出しなかったからです。フォティーンフォティ技術研究所では,世界中からマルウエアを集めるOrigmaと呼ぶシステムを運用しています。これで集めた最新のマルウエアを,既存のウイルス対策ソフトが検知できない。しばらくしてパターンファイルをアップデートすると検出するというケースが多い。

 セキュリティ対策の現場では,最新のマルウエアに対して守っていかなければならない。過去のマルウエアもので99%と言っても意味がない。昨日出たマルウエアから守れるかどうかが重要なのです。FFR yaraiは,まだ報告されていない脆弱性(セキュリティ・ホール)を突くゼロデイ攻撃や,特定の組織を標的にしたカスタム・マルウエアも検知できるように開発しました。

どのような技術に基づいているのですか。

 FFR yaraiはパターンファイルを使わず,ソフトウエアの振る舞いを調査します。既知および未知の脆弱性を防御する「0-Day保護エンジン」,ソフトウエアの中身を解析しマルウエア特有のコードの有無を検査する「N-Static分析エンジン」,疑いのあるソフトを仮想環境上で実行して調査する「U-Sandboxエンジン」,パソコン上でプログラムの疑わしい挙動をチェックする「DHIPSエンジン」の4つのエンジンを積んでいます。

 これらはすべてフルスクラッチ実装したもので,それぞれ特許を出願中です。例えば0-Day保護エンジンの場合,システムコール発生を監視し,その呼び出し元を追跡しつつメモリーの属性をチェックします。これにより,スタックベースやヒープベースのバッファオーバーフロー攻撃などに代表されるコード実行脆弱性を効率的に防御する事ができます。また,既存のバッファオーバーフロー対策を回避する「Return-to-libc」のような攻撃も防御する事ができます。

 またサンドボックス上で動作させる場合でも,最新のマルウエアでは「アンチサンドボックス」と呼ぶ技術が使われていることがあります。例えばわざと時間のかかる処理を混入させ,サンドボックス上での監視が時間切れにするなどの手法です。FFR yaraiは,CPU命令単位の検出ロジックを多数備えており,このようなアンチサンドボックスも検出する事ができます。その他,通常のコンパイラで生成されない異常な命令の組み合わせや不正なAPI呼び出し,コードの自己書き換え,異常なメモリアクセスなど,多数の検出ロジックが実装されています。

 基本的に,膨大な数のマルウエアや攻撃コードをリバースエンジニアリングする事で得られた検出ノウハウをルール化し,これら4つのエンジンに実装しています。これにより,未知の脆弱性攻撃や未知のマルウエアを検出,防御します。

 ただ,FFR yaraiは,近年の攻撃にフォーカスしているため,ExcelやWordのマクロウイルス,古い16ビットのウイルスなどは検出対象にしていません。そのため,既存のシグネチャベースのウイルス対策ソフトと併用することを想定しています。

 過去のウイルスの検体も,他のウイルス対策ベンダーから,我々が収集したマルウエアと交換する形で入手しています。そのためシグネチャ・ベースのエンジンを作成することも可能ですが,提供するかどうかは今後の検討課題です。

既存のウイルス対策ソフトにも,振る舞いを検知する機能(ヒューリスティックスキャン)を備えるものはあります。

 ヒューリスティックスキャン機能を備えているものもありますが,最新のマルウエアで出できないものが多くありました。どのような検出をしているのかブラックボックスでわからない。我々は,なるべくオープンにしていこうと考えています。今後,記事や講演などを通して詳細を発表していきたいと思っています。

フォティーンフォティ技術研究所はこれまでエンドユーザー向けのビジネスはあまり手がけてきませんでした。他のウイルス対策ソフト・ベンダーに技術をOEM提供するという方法もあったのでは。

 まずは我々自身のプロダクトを作りたかったからです。将来は海外にも展開したいと考えています。