ニュース

2009年10月9日

「わざと感染して、Webウイルスを検出」、FFRが“人柱型”ツールを発売

脆弱性のあるPCで定期的にアクセス、感染したらサイト管理者に通知

勝村　幸博＝日経パソコン

Tweet

（執筆時の情報に基づいており、現在では異なる場合があります）

「Origma+」の概要（FFRの情報から引用）

画像のクリックで拡大表示

　セキュリティ企業のフォティーンフォティ技術研究所（以下、FFR）は2009年10月9日、従来とは異なるアプローチで「Web感染型ウイルス（Webウイルス）」を検出するツール「Origma+（オリグマ・プラス）」を、同10月1日に発売したことを明らかにした。

　Origma+の対象ユーザーは、主にサイト運営企業。同ツールを利用すれば、攻撃者によって自社サイトに埋め込まれたWebウイルスを、いち早く検出できるとする。

　Origma+の特徴は“人柱型”であること（図）。Origma+では、脆弱性のある仮想パソコン環境を用意し、その環境でユーザーが設定した監視対象のWebサイトに定期的にアクセスする。アクセスした際にウイルスに感染すれば、そのWebサイトにはWebウイルスが埋め込まれている可能性が高いとしてサイト管理者に通知し、早期発見・対応を可能にする。

　Origma+は、仮想環境のホストOSとゲストOSにそれぞれインストールするコンポーネント群で構成される。Origma+のユーザーは、パソコンのOS（ホストOS）に、ツールのホストOS用コンポーネントと、仮想マシン（仮想化ソフト）をインストールする。

　仮想マシン上には、人柱となるゲストOSを用意。ゲストOSには、ツールのコンポーネントと、脆弱性のあるWebブラウザーやプラグインなどをインストールしておく。ゲストOSは複数同時に稼働できるので、脆弱性のある環境を複数用意できる。

　ゲストOS用コンポーネントは、インストールされているWebブラウザーを使って、監視対象サイトに定期的にアクセス。対象サイトにWebウイルスが仕込まれている場合には、ウイルスがダウンロードされて感染する。

　感染により、ゲストOS上では予期しないプログラムが実行されたり、ファイルが作成されたりする。Origma+のコンポーネントはそれらを異常として検出。アクセスしたサイトが改ざんされている可能性が高いとして、サイト管理者にメールなどで通知する。ユーザーの要望があれば、回収したウイルスの分析や駆除ツールの作成などを、FFRが別途請け負う。

　Origma+の料金は、インストールするパソコンの台数によって単価が変わる。例えば、1台では250万円だが、10台では1台当たり160万円。