EICAR Report 2009

Andrew Lee, CTO, K7 Computing Private Limited

2009年5月11、12日、ドイツの美しい街ベルリンでEICAR2009は開催された。残念ながら誰も不景気の影響を受けていない者はいない様子で、EICARも例外では無かった。しかしながら唯一のスポンサー、Dr.Webによる惜しみないサポートにより、充実したプログラム及び素晴らしい演出とともにカンファレンスは進行することができた。

今回参加者全員にとって稀とも言える喜びは、コンピュータウイルスの歴史の中で最も重要な人物であろうFred Cohen博士の講演が聞けた事である。Cohen博士は、機知に富みかつ確信に満ちた話し方でコンピュータウイルス学の歴史、及びこの業界の未来について詳しく語った。Cohen博士は大学教授として長い経験を持ち、カリスマ的でありかつ興味深いスピーカーである。こうした経歴を持つ博士のスピーチは、非常に明快であった。Cohen博士の考えのいくつかは論争を呼びまた挑発的ですらあるが、その内容はきんと正当化され知的なものであった。博士の考えによると、ウイルス学は将来国家が扱う領域となり、ウイルスやマルウェアは軍需品として考えられるようになるであろう。

正式に会議が始まり、Ronald Schultze氏がまずドイツの若者たちによるインターネットの使用状況について講演し、その中で氏は子供や10代の若者のオンラインによるストーキングを如何に防ぐか、また如何に彼らを性的内容に関連したコンテンツを受信することから守るかについて語った。氏はさらに、この種の問題についての早期警戒システムを提供するプロジェクトについて議論を行った。

次にスポンサーであるDr.WEBを代表してBoris Sharov博士が発表した。トピックは"マルウェア最前線最新情報"で、ランサムウェア(ransomware)の幾つかの興味深い事実や、純粋なPCベースのマルウェアとはどれほど異なる技術が用いられているかについて明らかにした。氏は、ドキュメントを暗号化してユーザにデコーダの代わりに金を要求するという、ファイルエンコーダを使った攻撃について議論した。1つおもしろい攻撃だと思ったのが、携帯電話のSMSサービスの使用だった。あるマルウェアがWindonwsをロックして、ユーザーがログイン出来ないようにする。次にある特定の番号がポップアップ画面に表示される。そしてWindowsにアクセスする為にSMSを通してそのコード番号を有効にしてなくてはならい。Sharov博士はいつも興味深い講演をされるが、ロシア地域の博士の視点は特に価値がある。

今年はMcAfeeのバンガロール研究所のBabu Nath Giri氏とVinoo Thomas氏の興味深い議論があり、アジア地区の発表が良くなされていた。Babu氏はコンピュータがほとんど全ての階層の人々の中で、衛星から携帯電話、また自動車からコーヒーマシーンなど私達がどれ程コンピュータを利用しているかを語った。氏はコンピューターがさらに高速になり、また小型化され、ワイヤレス化が進んだり、身につけて利用する範囲がさらに広がったり、または埋込み装置として利用されるなど、その需要は今後高まるであろうと述べた。彼はセキュリティを念頭に置きながらそのような装置について語り、将来マルウェアがそれらを悪用する可能性を示した。Vinoo氏と彼の同僚は"リムーバブルディスクマルウェアの復活"という彼らの論文の中で、様々なAutoRunの感染技術について考察した。両氏はAutoRunの歴史をひもとき、また両氏の特許出願中である、リムーバブルディスクを介して広がるマルウェアを前もって検知し阻止する技術について語った。

カンファレンスの初日は、マルチウェア対策製品の試験についての活発なパネルディスカッションで終了した。パネルディスカッションには、AMTSO(Anti-Malware Testing Standards Organization)、EICAR及びユーザー、またベンダーのコミュニティやICSAなどの非常に信頼できる研究所などを代表する専門家が参加した。この議論は、試験の問題を扱う会議を通して、少なくとも3つのその他の研究論文によって拡張された。明らかにホットな話題であり注目を得るにふさわしく、特に動的あるいは実行コンテキスト試験の話題がESETのDavid Harley氏によって取り上げられた。

初日の夜催されたGalaディナーは、将来が有望なドイツのパフォーマーによる楽しいマジックとコメディーのショーがあり、彼らのパフォーマンスは数年前のハンブルグでのEICARでも見られたので、見覚えのある人がいるかも知れない。

2日目は不幸なことに参加者はまばらで、恐らく会場近くにあるベルリン動物園の魅力のせいであっただろう。しかし、この日も幾つかの非常に興味深い発表があった。1つ議論を呼んだテーマは昨日のCohen博士の基調講演によくマッチした発表であり、トロイの木馬を国家が使用すること、そしてそれに付随するプライバシーの問題や、法的そして技術的な問題が取り上げられた。

ICSAのAndrew Hayter氏は試験をテーマにした発表を行い、なぜISO基準の検査機関の認定が重要なのかを論じた。各検査機関がそれぞれ良好な科学基準を達成し、維持することをどれ程重視しているかについて、議論を聴くのは参考になった。

Anthony Desnos氏とEric Filiol氏は、ハードウェアベースのバーチャルマシンのルートキット(Blue Pill)の検知についての研究を発表した。この研究は、企業システムにおける仮想化の増加と重要性を扱っており、今回のカンファレンスの中では数少ないかなり技術的な発表の一つだった。その後、Damien Aumaitre氏、Christophe Devaux氏とJulien Lenoir氏らが、彼らがロシアのボットネットを発見した時の体験談を語った。興味深いテーマだったが、新たな技術や情報の発表は無かった。

その他のカンファレンスと同様、全てを見ることは不可能であるものの、EICARには間違いなく参加する価値がある。カンファレンスはよく計画されていて、大変興味深いセッションがあり、また不況を考慮すればかなり熱心と言える参加者もいた。今回発表された内容は確かに有意義であり、また私もパネルディスカッションに楽しく参加したが、今後は技術的な事柄により焦点を当てていただければと思う。次回のEICARカンファレンスは2010年5月8日-12日、パリで開催の予定である。