マイクロソフトのセキュリティに関する活動について紹介するブログ シリーズの第 3 弾と第 4 弾は、前後編として、米国本社でマイクロソフト セキュリティの中核となるチームの取り組みを、インターン中のメンバーより紹介しています。
前回の TwC MSRC 部門の紹介に続き、今回は、マルウェアの脅威に対する取り組みを行っているチームを紹介します。
(ブログ シリーズの第 1 回, 特別編, と第 2 回は、私たち日本のセキュリティ チームを紹介しています。未だの方はぜひご覧ください。)
マイクロソフト マルウェア プロテクション センター (MMPC) とは
コンピューターは生活に欠かせない便利な道具であると同時に、スパイウェア、アドウェア、ウイルスなどの悪意のあるソフトウェア (マルウェア) などの脅威に囲まれています。
こうした脅威からユーザーの皆様を守るために取り組みを行っているのが、マイクロソフト マルウェア プロテクション センター (MMPC) 部門です。MMPC 部門では、大きく分けて 3 つの取り組みを行っています。
- 新たに発生した脅威への対応
新たなマルウェアなどの報告が上がるとすぐに、解析、およびセキュリティ ソフトウェアの更新など必要な作業を行い、新たな脅威からユーザーを保護します。
また、ユーザーからの報告だけではなく、パートナーや研究者からの報告や、脅威観測などを行い、新たな脅威によって実際の被害が発生する前に、対応できるような仕組みも備えています。
日本のセキュリティ チームも、日本で発生しているマルウェアの報告などに協力し、特定の地域のみで発生している脅威への対策も、確実に行えるよう取り組んでいます。
- 脅威の研究や解析
日々寄せられる新たなマルウェアの報告や、動向観測、感染データなどを基に、世界に発生している脅威を解析し、研究を行っています。
こうした研究結果は、セキュリティ インテリジェンス レポートなどを通じて発表を行うことで、セキュリティに関する認知の向上に役立てています。
日本のセキュリティ チームも、レポートのレビューに参加し、地域特有のデータや日本のみなさんに有益な情報が含まれるようにしたり、分かり易く研究結果を纏めてブログなどを通じて解説したりしています。
- セキュリティ製品やツールの提供
MMPC の研究や解析結果は、Forefront Client Security、System Center Endpoint Protection、Microsoft Security Essentials, Windows defender などのマイクロソフトのセキュリティ製品群とサポート サービスに活かされています。
また、悪意のあるソフトウェアの削除ツール (MSRT) では、月例セキュリティ更新の日に更新版を公開し、蔓延が見られる悪意のあるソフトウェアを新たに検出・駆除対象として追加しています。私たち日本のセキュリティ チームからも、対応状況や更新状況をこちらでご案内しています。
<写真 1: 休憩時間にはサッカーをしてリフレッシュ。ここから良いアイデアが生まれることも。>
脅威の報告から対策まで ~ トップ スピードの対応
マイクロソフトでは、世界に 5 箇所のラボを設け、24 時間体制の下に、世界中で新たに発生する脅威への対応を行っています。新しい脅威の報告から対応の公開まで、最短で数時間で行うことが可能であり、マイクロソフトにて修正や公開を対応するチームの中でもトップクラスのスピードを誇っています。
今回は、新しい脅威の報告から対応の公開までにどのような作業が行われているのかご紹介します。
1. 新しい脅威の受信 **
新しいマルウェアやウイルスなどの脅威の報告は、日々マイクロソフトに寄せられています。報告経路としては、マイクロソフト サポートを通じたお客様からの報告や、パートナー企業からの報告、研究者からの報告が多く寄せられます。
他にも、観測に基づいた検知や前回紹介した MSRC などマイクロソフトの他部門における研究や検知の結果も収集し、幅広く脅威の監視と検出を行っています。
なお、個人の方でもこちらから新たなマルウェアの検体の提出を行うことができますので、ぜひご活用ください。
2. 初期診断 **
新しい脅威やマルウェア検体が報告されると、まず、概要を確認し、既知の脅威であるか、被害報告の有無、脅威のレベルなどを、素早く診断します。診断結果に応じて、プライオリティを付け対応することで、効率よく被害や脅威の拡散を最小限に留めます。
3. 解析 **
プライオリティに応じ、すぐに脅威の解析が行われます。どのような特性を持っているのか、攻撃手法は何か、どういった対策方法が必要か、など、様々な面から解析が行われます。
解析には、これまでの膨大なマルウェアのデータを基にした解析ツールも利用されますが、経験豊富な研究者たちが、それぞれが培ってきたテクニックを駆使し、正確な解析を行います。さらに、多角的で見落としのない解析を行うために、研究者同士が互いに解析結果をチェックし、意見を出し合い、最終的な解析結果を纏めます。
4. 作成 **
解析が終わると、必要に応じた対応策の作成が行われます。例えば、新種のマルウェアの場合は、セキュリティ対策ソフトで検知ができるように、定義ファイルの更新版が作成されます。
5. テスト **
作成が完了すると、すぐにテスト工程へ進みます。短時間であっても、十分なテストを実施します。
マルウェアが正しく検知されるか、という観点だけではなく、その他の安全なソフトウェアが誤検知されないか、といった点もきっちりとテストを行うなど、品質の高い対策の提供に努めています。
6. 公開 **
テストが完了し、問題がないことが確認されると、すぐに対策が公開されます。例えば、セキュリティ対策ソフトについては、新しい定義ファイルが公開されます。定義ファイルは、定期的に更新が実施されますが、こちらから最新版を入手することも可能です。
7. 情報の共有 **
新たな脅威と対策の情報については、すぐに社内、社外へ共有が行われます。MMPC の WEB サイトにもマルウェアの情報を掲載します。
特に、影響が大きいと予想される脅威については、ブログなどを通じて皆様へ周知したり、サポート部門と協力を行い、顧客対応がスムーズに行われるように努めたり、様々な部門が一丸となって取り組みます。
また、サードパーティーのセキュリティ ソフトウェアなどを提供するベンダーとも協力し、新しい脅威の情報交換などを行うことで、どんな環境のユーザーも保護が正しく行われるよう積極的に取り組んでいます。
<写真 2: 広い米国本社内でもシャトルバスを活用してお互いを訪問するなどし、部門間の協力関係を築きます>
おわりに
「また新たなウイルスが流行っている」といったようなニュースを目にするたびに、パソコンを利用することが不安になってしまう方もいらっしゃると思います。みなさんが安心してパソコンを利用していただけるように、今回ご紹介した MMPC 部門を中心とし、様々な脅威からみなさんの保護に取り組んでいます。こうした取り組みを知っていただくことで、「マイクロソフトの環境なら安心!」と感じていただけると嬉しく思います!
MMPC 部門の取り組みは、紹介ビデオ (英語) でも公開していますので、ぜひご覧になってください。