マルウェア情報の標準化

2011/05/26

セキュリティ業界では、業界企業間の情報交換を迅速化しようと、新たなXMLフォーマットを策定しています。作業は米国電気電子学会(IEEE)の監督の下、ワーキング・グループ「Malware Working Group」が「Industry Connections Security Group(ICSG)」活動の一環として実行しています。グーグルで「IEEE」と「ICSG」を検索すれば、IEEE ICSGのリンクが最初に表示されるでしょう。 今回はその取り組みについて取り上げます。

Malware Working Groupは複数のセキュリティ企業から約20人が参加し、XML標準案の策定に従事しています。このXMLフォーマットはシンプルな上、柔軟性が高く、既にウイルス対策ソフト・ベンダー4社がマルウェア流行状況を示すメタデータのやり取りで使用中です。メタデータを共有する企業/組織が増えれば、マルウェアの交換に手間がかかっていたことなど過去のものとなり、脅威情報をリアルタイムに交換する時代へと変わるでしょう。

マルウェア・サンプルとドメイン、IPアドレスの関係を示す情報を交換することで、インターネット・ユーザー全員のセキュリティ改善につながる無限の可能性が開けます。

このXMLフォーマットを使用すると、特定のマルウェア作成グループが配布したマルウェアやドメイン/IPアドレス使用履歴を漏れなく記述したり、マルウェアがパソコンに感染する方法まで表現したりすることができます。その上、高速な自動分析に適した、あいまいさを排除した記述が行うことが可能です。

非常に単純なマルウェア流行状況のデータをやり取りする簡単な情報交換でも、大きなメリットが得られます。

  • ウイルス対策ベンダーは、調査作業待ちのサンプルに優先順位を付けることができます。
  • 試験機関は、より有効性の高い内容の試験を作成することができます(例えば、古くて珍しいサンプルの重要度を下げることができます)
  • システム管理者は、整った現場報告書をウイルス対策ベンダーに提出し、インターネットの安全向上に役立ててもらうことができます

このXML形式メタデータの例を以下に示します。

マルウェア情報交換用のXML形式メタデータ

XML標準に興味がある方は、完全なXMLスキーマ(XSD形式)を入手してみるとよいでしょう。

※本ページの内容はMcAfee Blogの抄訳です。
原文:Malware and standards – is it possible?