システム管理者を務めていたゴスチェフは、業務中にウイルスに遭遇したことからアンチウイルスの世界に足を踏み入れる。数々の検体を入手したりウイルス関連のコミュニティを運営したりと精力的に活動していた彼は、縁あってアンチウイルス企業Kaspersky Labへ転職することになった。
アレックス・ゴスチェフ(1)- ウイルスは都市伝説だと思っていた
Slammerの洗礼
私はウイルスアナリストとしてKaspersky Labに入社した。当時、ウイルスアナリストは各自で担当分野を持っていた。キーロガー、ファイルウイルス、バックドア、といった具合だ。自分の引き継ぎ相手であるアンドレイ・カリモフ(Andrey Karimov)は、そのころメジャーな現象となっていた、Office文書に感染するマクロウイルスの担当だった。それから、スクリプトウイルスも。彼とは研修で数週間一緒に過ごした。アンドレイは、この仕事のあらゆる側面や機微を教えてくれた。そして、実際の仕事に着任するときがやってきた。Kaspersky Labがシフト制を敷き始めたあたりだった。取り組まねばならないウイルスの数が増えたので、私たちはもっと働かねばならなかった。一部のアナリストは、週末に仕事をするようになった。私の最初のシフトは、2003年1月25日だった。自分にとって最初の「単独飛行」で、検知も分析も全部ひとりでこなした。
そしてSlammerがやってきた!Slammerワームの流行は、韓国全体のインターネットを8時間もダウンさせた。そのころPRのマネージャーだったデニス・ゼンキン(Denis Zenkin)がやってきて言った。「何が起こっているか聞いたか?俺たちは何かすべきだ!」
カスペルスキーと私はSlammerの調査を開始し、徹底的なリバースエンジニアリングを実施した。悪性コードは巨大ではなかったものの、ユニークであり、何かまったく新しくもあった。これは、ファイルを作り出さずに拡散していく「短命な」ワームだった。何もかもが厳しい試練で、私はこの仕事がどれだけすごいものかを理解した。
当時、ユージン・カスペルスキーは自らリバースエンジニアリングを手がけ、残り全員分の合計よりも多くのウイルスを処理していた #マルウェア解析の現場
Tweet
当時、ユージン・カスペルスキーは自らリバースエンジニアリングを手がけ、残り全員分の合計よりも多くのウイルスを処理していた。ウイルスアナリストは、カスペルスキーの他に4人いた。4人分を合わせたのと同じだけのウイルスを、彼は簡単に、さほど労力もかけずに捌くことができた。
私の教育係が去った後、カスペルスキーは自らの経験を私に伝授し始めた。彼は私を呼び出し、座らせて、なにをどうすべきか示してくれた。リバースエンジニアリングのいろは、みたいなことではなく – よりよい検知メソッドや、アナリストの裏をかこうとするウイルス作者を出し抜くにはシグネチャのどこに目をつけたらよいか、を見せてくれた。実に面白かった。
1年も経たないうちに、我々ウイルスアナリストは24時間シフトで勤務する必要に迫られた。進んで夜勤に取り組むスタッフが必要だった。それで、4人の若い…「キツツキ」たちを採用した(Kaspersky Labでは、マルウェアアナリストをそう呼ぶ)。今度は、自分が新人たちに経験を伝えていく番だった – この「王朝」は拡大を続けていた。アンチウイルスのスペシャリストにとって、2003年は大変な年だった。ウイルスの大流行が何度も発生し、それこそ打ち出の小槌からわきでるようにウイルスが現れた – 大きいのや、強力なのや、いろいろと。こうしたものをすべて、誰よりも先に解析して検知しなければならなかった。このほかにも、ウイルス情報の執筆や、ジャーナリスト対応や、最新ニュースに関するコメント発表なども、重要な仕事だった。
若いアナリストたちは、全部をひとりではこなせないことがあった。そのころ私は、オフィスから500mばかりのところに住んでいた。当然、夜中に電話がかかってきてヘルプを求められることもあった。私たちは、世の中が起き出す前に、すべて(検知シグネチャ、ウイルス情報、プレスリリース)を準備しておきたかった。
そして、ここからすべてが始まった。2004年、最初のモバイルウイルスが検知された。そのときのことを、とてもよく覚えている。さまざまな意味で転機となったからね。このウイルスはSymbianに感染するものだったが、続いてJ2MEに感染するウイルスが現れ、事態はさらに進行するであろうことがはっきりした。そこで、モバイル脅威に重点的に取り組む部門が設置され、私がそのトップに就任した。
※本記事は、Hacker誌に掲載されたStepan Ilyin氏の記事を翻訳・転載したものです。