---- The 17th EICAR Annual Conference May 4-6, 2008 Laval, France ----
春の素晴らしい日、高速鉄道のTVRでフランスのラヴァルに到着した。
図1 Rue de la PaixからChemin de Halage Sud沿いに南側を撮影
第17回EICARの年次カンファレンスの開催地は、マルウェアの傾向やまたマルウェアの脅威をいかに防ぐかについてアイデアを交換し、調査や洞察を深めるにはこれ以上ない素晴らしい場所であった。
カンファレンスはOnidinesカンファレンスセンターにて開催された。この会議のオブザーバーとして感じたのは、ディスカッションがとても活気があり、論議であふれていたことである。EICARが更に拡大しているという報告があったが、それは私達の業界への参加者の増加を示しており歓迎されるべきことである。理事達は、来年に向けてEICARが焦点を当てる2点を強調した。1つは業界の技術的かつ法的な側面である。ある国の法律を示し、そうした国ではアンチマルウェア検知及びソリューションの調査や開発を行うために必要なツールを所有することは違法ということらしい。EICARではこうした問題に取り組むために、メンバー間で法律上の助言を得ることができる。オープニングの基調講演では、このことがよりいっそう強調された。2つ目のキーは、セキュリティ対策ソフトのテスト手法に焦点を当てることである。新たに創設された"Anti-Malcode Testing and Standards Organization(AMTSO)"が現在この分野を主導しているが、それは特定の研究や手法に基づいたものではなく、この点に関する懸念を理事たちは強調していた。EICARはテスト手法と標準に関するホワイトペーパーを募集することによって、テスト手法の問題に取り組もうとしている。論文の募集がごく近い将来行われるであろう。そしてEICARはその研究を評価し、研究に基づいた標準によってイニシアティブを取るだろう。
図2 左からカンファレンス議長のEric Filiol氏、EICAR会長のRainer Fahs氏、広報担当のEddy Willems氏
事務的な事柄の発表の中で、第18回目のEICAR年次カンファレンスについて暫定的な予定ではあるが、ドイツで2009年5月11日と12日に行うと発表した。そして開催地はベルリンかドレスデンのいずれかに絞られた。
日曜日夕方のイベントは、Ondinesのテラスで行われたウェルカムパーティで締めくくられた。オードブルとフランスのシャンパンによって、業界の中で新たな友人を得ることができ、また旧知の人とのコンタクトを回復することができた。
2008年5月5日(月)
オープニング - EICAR会長であるRainer Fahs氏は参加者全員を歓迎しつつ、カンファレンス2日間のテーマの概要を説明し、各プレゼンテーションの要点を強調した。そしてまた氏は、参加者の多様なバックグラウンド、即ち業界、政府、軍あるいは大学の関係者であることや、参加者が如何に世界各国から来ているかについて言及した。そしてラヴァル市長が紹介され、市長はラヴァル市民がこのカンファレンスのホスト市を務められることをどれほど喜んでいるか話した。
基調講演 - ハノーバー大学及びウィーン大学Nikolaus Forgo教授による「ITセキュリティソリューションの発展に関連する訴訟と法的処置 - ヨーロッパの展望」Forgo教授は、開発及び犯罪捜査上のツールの正当かつ合法的な所有及び利用と、同じツールの違法な悪用とを区別することの困難さを強調した。
そして素晴らしい地元のフランス料理の前に、ハノーバー大学のDennis Jlussi氏とChristian Hawellek氏によって「The Cybercrime Convention(サイバー犯罪条約) and a Comparative view on its Transportation」というテーマのプレゼンテーションが行われた。
カンファレンスは2つのトラックで同時に行われた。議題はEICARのサイトで確認できる。注目すべきはFrancois Paget氏による「仮想世界へようこそ」というテーマのプレゼンテーションだった。氏は、実世界と仮想世界で発展したパラレル経済について説明された。パラレル経済へ犯罪者が適応し参加してしまうと、結果的にスクリプトを作成するプログラミング技術とセカンドライフのセキュリティ上の弱点によって、痛ましくかつ悲しい犯罪行為が仮想世界で行われてしまうということだった。
私が聞きたい講演は同時に行われていたものが多く、選ぶのは非常に難しいことだった。例えばCedric Lauradoux氏による「偽装通信により送信される仮想ルートキットの検知」と、Rafal Leszczyna氏、Igor Nai Fovino氏及びMarcelo MaseraI氏による「MALSimによるマルウェアシミュレーション」である。今回は後者を選んだ。そのプレゼンテーションはプロジェクトの初期段階の調査についてであったが、シミュレートされたマルウェアの効果についてや、業界としては認められない実験としてのマルコードの作成との相違点について多くの質問が出された。※MALSim Mobile Agent Malware Simulator
どのセッションにも大勢の参加者おり、合間にあるコーヒーブレイクでは参加者同士でのディスカッションが行われ、また相互のネットワークを作る良い機会でもあった。 月曜日の夜のGalaディナーはMUSEE D'ART NAIFという古城で催され、民族音楽の演奏もあった。
図3 MUSEE D'ART NAIF
図4 伝統的な民族音楽を演奏するバンド
フランスの全ての素晴らしいディナー同様に、極上のワインを楽しむことができた。食事のハイライトは魅力的なデザートだった。
図5 デザートを楽しむところ
2008年5月6日(火)
2日目の目玉となるオープニングの講演はDr.Web CEOのBoris Sharov氏によるもので、テーマは「Win32.Ntldrbot(別名Rustok.C)の神話と事実」だった。これは「Rustock科(family)」の歴史を要約している素晴らしいプレゼンテーションで、長く噂のあったRustock.C存在の証拠を紹介した。Rustock.Cは洗練されたポリモーフィック型ウイルスで、抽出や分析を極度に困難にするルートキットの自己防衛システムを備えている。
図6 Dr.WebのCEO Boris Sharov氏
その日の残りはやはり2つのトラックで行われ、どのプレゼンテーションも参加者が多かった。Mario Vuskan氏の「ホワイトリスティングでの勝利のおさめ方」などのそれほど技術的な内容でないものから、Andrei Gherman氏の「ボットネットに遅れを取らない」、あるいは技術的に高い学生論文であるリバプール大学のMattt Webster氏とGrant Malcolm氏の「代数的仕様を用いたメタモーフィック型及び仮想化マルウェアの検出」まであり、あらゆるレベルの参加者にあった情報が提供された。
閉会式では、Rainer Fahs氏がテスト手法に関するホワイトペーパーへの参加を呼び掛けた。テスト手法が来年のテーマとなるためである。そして今年の参加者全員が第18回EICARカンファレンスに招待されるという言葉で締めくくられた。
Submitted by Andy Hayter, Anti-Malcode Program Manager, ICSA Labs on behalf of AVAR