アレックス・ゴスチェフ(3)- エキスパート集団GReATの誕生

Kaspersky Labでは誰がどんなふうにマルウェアを解析しているのか?数々のインシデントはどう調査されるのか?Kaspersky Labのチーフセキュリティエキスパート、アレックス・ゴスチェフが語るシリーズ第3回。

ゴスチェフ-great

Kaspersky Labに入社したゴスチェフは、厳しい業務をこなしつつ、ユージン・カスペルスキーの薫陶を受けて成長していった。若い世代を指導する立場になったゴスチェフは、GReATの設立に関わっていく。

アレックス・ゴスチェフ(1)- ウイルスは都市伝説だと思っていた
アレックス・ゴスチェフ(2)- Slammerがやってきた!

GReAT

2007年から2008年にかけて、私たちは初めて外国人のエキスパートを迎えた。彼らはここで何が行われているのか知りたがっていて、私たちは彼らが何をしているのかを知りたかった。これが、GReAT (the Global Research & Analysis Team)の設立につながり、私がこのチームを率いることになった。

最初は10名しかいなかった。私たちの課題は、世界の主要地域にいるエキスパートとの関係を築くことだった。各国で人材を求め、雇用し、このプロジェクトに組み込まねばならなかった。私の任務は、マネージャーであること、チームの形を作ること、中核となるメンバーを探し出すこと。GReATで必要とするのは、リバースエンジニアリングができるだけでなく、コードも書ける人材だ。また、コミュニケーションにも長け、公の場で話せる人物でなければならない。少なくとも、そうなろうという気概が求められた。そんな人材を見つけるのは、おそろしく難しい。比類のない人物を探そうというのだから。

そんな人物が見つかるとしたら、天の恵みだ。このタイプのエキスパートは、地域全体をカバーできる。たとえば、スウェーデン人エヴァンジェリストのデイヴィッド・ヤコビー(David Jacoby)は、必要な技能をすべて備えており、スカンジナビア地域全体を担当している。

そういう人材が見つからないなら、チームを作らねばならない。ロシアではまさにそれをやった。9人編成のチームで、GReAT内最大のチームだ。全世界にGReATのエキスパートは35名いる。

チームが形成されて始動したとき、私はマネージャーとしてよりもエキスパートとして働くほうが会社にとって有益だ、と判断した。自分の手で解析をしたかった。そこで、水平的人事異動が行われた。ルーマニア人エキスパートがGReATのトップに、私は研究部門のトップに就任した。

GReATとウイルスラボの違いは何だろう、と思うかもしれない。ウイルスラボは、入ってくるウイルスを処理する部署だ。ユーザーから送られてきたもの、収集システムがつかまえたもの、Kaspersky Security Networkが集めたもの、毎日何百万もの悪意あるプログラムが到着する。データベースに追加されたリクエストの90%は、自動解析されたものだ。ロボットが検体を解析し、検知用シグネチャをデータベースに追加していく。アナリストは、ロボットが扱えないものに対応するだけだ。ウイルスラボでは定義データベースの維持管理と、新たなサンプルの追加を行っている。

GReATの主な業務は2つある。1つめは、パートナーからの要望に応え、解析が必要な問題を抱えた組織に対応すること。2つめは、深刻なインシデントを調査することだ。

GReATは研究開発の役割も担う。私たちはそれぞれ、発明の特許を少なくとも3つ抱えている。また、最低でも自分の時間の20%を調査研究に割かねばならない。また、場合によっては新製品や新技術の開発および推進の業務へ完全に切り替えることもある。また違った業務に就くこともある。私が最近担当した特許のひとつは、偽証明書を使った「中間者攻撃」に利用されるマルウェアを検知するのにKaspersky Security Networkを活用する技術に関するものだった。たとえば、訪問先のサイトでSSL用の証明書が求められたら、どうするべきか?そんな場合、Kaspersky Security Networkを使って、他の人たちが同じ証明書を受け入れているか確認することができる。その証明書が、他の数万人が使っているものと違っていたら、今まさに攻撃が進行中ということかもしれない。私たちはそういった証明書を集めて解析する。

GReATの主な業務は2つある。1つめは、パートナーからの要望に応え、解析が必要な問題を抱えた組織に対応すること。2つめは、深刻なインシデントを調査することだ

別の例を挙げると、トレント内でウイルスを検知する手法がある。この技術は、ギガバイト級のトレントファイルをダウンロードして初めてファイルが感染しているのに気づく、といった事態を避けるのに役立つ。私たちは海賊版には否定的だが、トレントはトレントだ。トレントファイルをダウンロードするときにアンチウイルスプログラムを無効にする人はよくある。ダウンロードプロセスを阻害されるからだ。そこで、ファイルがシステムにダウンロードされる前にファイルをチェックする検知技術を開発した。

※本記事は、Hacker誌に掲載されたStepan Ilyin氏の記事を翻訳・転載したものです。

アレックス・ゴスチェフ(4)- 私たちは区別しない

ヒント