ここ数年、脅威が全世界的なものが減ってきて、地域に限定した脅威が増えてきている。 日本だと一太郎の脆弱性を狙ったものなど。海外のエンジニアは日本語がわからないので、対応してもらうのが難しい。時間がかかる。 2chが何か説明するのは大変。 #01binarians
2010-12-18 13:17:50昔は2chに情報を書き込むマルウェアがあったが、日本人ならすぐにわかるが、外人に説明するのは難しい。 最近、解析の部署ができた。 私はサポート部隊にいた。 その後解析の研究所にはいった。 半年間トレーニング、フィリピンから講師。 #01binarians
2010-12-18 13:18:54私の解析の経験はまだほんの2三年程度、私よりも長く解析をしている人は多分このなかにいるでしょう。 どうやって解析を覚えたのか? フィリピンのエンジニアからトレーニングを受けた。 全部英語でトレーニングをうけた、自慢じゃないがTOEICは300点台 #01binarians
2010-12-18 13:19:57英語ができなかったのでトレーニングはとてもきつかった。 わけのかんないことを、わけのわかんない英語で教えられて本当にきつかった。 トレンドマイクロという会社で働いていたので、マルウェアに対する興味はあったので、勉強はがんばった。 #01binarians
2010-12-18 13:20:54英語がきついので日本語の資料を探した、ここに来ている人たちが公開している情報を読んだ。 フィリピンのエンジニアと富士山に遊びに言ったりして、だんだん英語ができるようになっていた。 英語は今でもそれほどできているわけではない。今はTOEIC600~700 #01binarians
2010-12-18 13:21:56英語力と解析力は英語力に比例して上がって言ってると感じている。私のマルウェア解析力はTOEICで600点程度なので、ここに来ている人のほうが解析ができるひとが多いでしょう。ベンダーの人が普段どのようなことをしているのか皆さん興味があると思いますので話しま #01binarians
2010-12-18 13:23:06解析にはどんなツールを使っているの? 特別なツールは使っていません。 OllyやVMWAREなどを利用しています。 自社で特別な解析ツールを作ってそれで解析しているかとおもうがあまりない。 専用ツールも若干はある。 #01binarians
2010-12-18 13:23:50フィリピンにいるエンジニアがプラグインや専用ツールを開発することもあるが、世の中に一般に出回っているツールを利用する。特別なものはあまり利用していない。 自己紹介はこんな感じです。 #01binarians
2010-12-18 13:24:32マルウェア解析って何をやるの? 不正プログラム解析とは~割愛します。 リバースエンジニアリングとは~割愛します。 皆さんにひとつだけ聞きたい、静的解析は世の中では逆アセンブルしたコードを読むことだと言われているが、 #01binarians
2010-12-18 13:26:24基本的にはブラックボックス解析、ホワイトボックス解析といっている。コードを見るのはホワイトボックス解析と言っている。 #01binarians
2010-12-18 13:27:11マルウェア解析って何をやるの? ウィルス情報、有償解析レポート、受託調査研究、TechCVR、WhitePaper、ジェナリックパターン、駆除パターン作成、サポート #01binarians
2010-12-18 13:27:57ウィルス情報、トレンドマイクロで公開されているウィルスの情報、ウィルスの動作について書くので解析を行う。 現在は1.5秒に #01binarians
2010-12-18 13:28:361.5秒に1検体生まれるので、人の手ですべて解析しているわけではない。 自動解析が行われている。 そのため、出している情報の品質が低いこともある。 心苦しく思っている。 ただ現状、人手で解析するのは限界なので、できる限りの情報を出している。 #01binarians
2010-12-18 13:29:40詳細な情報がほしいという場合になると、有償解析サービスを利用していただくという状態になっている。 有償の解析レポートは、お客様がいて会席している。そのためこういった場で公開することができない。 もうしわけない。 #01binarians
2010-12-18 13:30:41社内向けに作成したレポートの一部抜粋を持ってきた。 こちらはGumblar:8080におきた際の解析レポートになっている。 ウェブに公開しているウィルス情報よりも詳しく、一連の攻撃、全体の行動がわかるようなものを書いている。 #01binarians
2010-12-18 13:31:42受託調査研究、公開されているものはIPAから調査研究を受託している。 入札した。 レポートが公開されている。 弊社から提供したものはもっと高度なレベルの情報を提供している。 詳細がばっさりとカットされたものが公開されている。 #01binarians
2010-12-18 13:32:53セキュリティブログを書いている。 詳細な解析をしたので、お客様に提出するだけでなく、一般にも公開している。 #01binarians
2010-12-18 13:33:23TechCVR 社外に見せてはいけない資料。 フィリピンのラボで重要なマルウェアについては詳細なレポートを作成することがある。 マルウェアの動作について聞かれた際に答えられえるように高度な解析をおこなってレポートを作成している。 #01binarians
2010-12-18 13:34:23