マルウェア解析に威力を発揮するVMware：仮想解析ラボの構築とそのポイント

マルウェアがファイルシステムやレジストリ、ネットワークに、どのような作用を及ぼすかを観察するには、VMwareのような仮想化ソフトウェアでラボ環境を作るのが手軽だ。

[Lenny Zeltser，TechTarget]

　マルウェア解析の専門家でなくても、自分のマシンに侵入しようとしてきた未知の悪意ある実行可能コードについて、正体を突き止めてやろうと思うことがあるかもしれない。挙動解析により、その代物がファイルシステムやレジストリやネットワークに、どのような作用を及ぼすかを観察することから調査を始めると、すぐに有益な成果が得られる。VMwareのような仮想化ソフトウェアは、このプロセスに実に役立つ。

VMwareを使ったマルウェア解析のメリット

　VMwareを使えば、1台の物理システム上で同時に複数のコンピュータを稼働させ、マルウェアの挙動をシミュレートできる。マルウェアの挙動解析のためのこのアプローチには、複数の別個の物理インフラ要素を使ってラボ環境を作る方法と比べて、幾つかのメリットがある。

• 解析用のラボ環境では、インターネットをシミュレートしたネットワークのさまざまな要素にマルウェアが作用を及ぼすことができるように、複数のシステムを用意しておくことが有益な場合が多い。VMwareでは、大量の物理マシンがなくても、多数の要素を持つラボ環境を構築できる
• マルウェアが感染する前のシステム状態のスナップショットを作成し、解析期間を通じて定期的にスナップショットを作成できれば、時間の節約になる。スナップショットにより、システムをほぼ瞬時に目的の状態に簡単に戻せるからだ。VMwareはこのスナップショット機能を備えており、便利だ。商用製品のVMware Workstationでは、複数のスナップショットを作成できる。無料のVMware Serverではスナップショットを1つだけ作成でき、無料のVMware Playerでは作成できない
• VMwareのホストオンリーモードのネットワーキングオプションは、ハードウェアを追加することなく、シミュレートされたネットワークを使って、仮想システムを相互接続できるという点で便利だ。また、このオプションのおかげで、アナリストにとって、ラボ環境を実運用ネットワークに接続するという選択肢は、ほとんど不要になる。ホストオンリーネットワークでは、どの仮想システムも、プロミスキャスモードで動作させれば、シミュレートされたネットワーク上のすべてのトラフィックを見ることができる。このため、ネットワークに対するマルウェアの作用を簡単に監視できる

VMwareを使ったマルウェア解析の開始