マルウェアの効率的な収集の仕方を教えてください。


とだけ書くととても痛々しい質問ではありますが、端的に示すとこのような表現になります。
マルウェアとそれに対する様々なアンチウィルスソフトの挙動について研究をしているのですが、
先日ハニーポットを設置したところ、期待するほどの検体が引っかからず、
時間だけが過ぎて行ってしまっている状態です。

そこで効率的に検体を入手できる方法があるのであれば是非とも教えて欲しいです。
500個程度もあればあらかたの動作確認が出来るかとは思いますが、ハニーポット設置ではあと数ヶ月かかりそうなペースです。
多ければ多いほど良い感じで、検体の種類がいろいろとあるともっと良い感じです。

無償であれば割と手段は選びませんが、明らかに危険な方法は避けます。(Winnyのような別問題が発生するような)
実験環境はセキュアに構築されていますので、セキュリティに関するコメントはなしで大丈夫です。

よろしくお願いします。

回答の条件
  • 1人5回まで
  • 登録:2008/11/03 00:04:17
  • 終了:2008/11/10 00:05:06

回答(2件)

id:snitch No.1

snitch回答回数516ベストアンサー獲得回数92008/11/03 00:17:40

ポイント42pt

どのようなハニーポットをわかりませんが

Blog等を立ち上げメールアドレス晒した状態にするとしばらくして

マルウェアが添付されたspamメールが大量に届くようになるかと思います。


この夏あたりからZIPやRAR圧縮されたマルウェアが添付されたspamが大変に多くなりました。

マルウェアを集めようと思っているわけではありませんが

私の持っている数個のアドレスだけでこの夏から100種近くのマルウェアが到着しています。

id:ganmosan

ハニーポットはNepenthesを導入しました。

メールアドレスですか・・・今までスパムメール対策をしまくってきたので、手元にスパムメールがない状態なので、

収集用のメールアドレスを作成してスパムメールで収集する方法も併用してみようかと思います。

情報ありがとうございます。

2008/11/03 00:41:48
id:keino No.2

keino回答回数204ベストアンサー獲得回数112008/11/03 04:46:58

ポイント28pt

一般的にいって、ウィルスを含むファイルは不用意に一般に出回って被害が拡大したり、同様なことを行う者が発生することを予防する為に、あまりおおっぴらに公開はされず、特定の専門家の間でのみ情報交換が行われているという状況にあることは、多分ご存知だと思います。


それでも学術的な目的のために、ウィルスのサンプルが必要であるなら、身元と使用目的を明示してウィルス対策ソフトの開発メーカに必要なデータを提供してもらえないか交渉するのが早道だと思います。


特定のウィルス対策ソフトのメーカーと交渉することが、あなたの目的にそぐわないのであれば、以下のような任意団体に同様な依頼を行う手法をとってもいいでしょう。

あるいは、

Virustotal のように複数のウィルス検索エンジンによる検索サービスを提供しているようなところにデータを提供してもらえないか依頼することも一考に価するでしょう。

id:ganmosan

CERT、JVNは脆弱性やウィルス情報は取り扱うが、

その検体(シグニチャ含む?)や脆弱性コードまでは取り扱わないと何かの論文で読んだことがあります。

あとはアンチウィルスのベンダーですか・・・

あの辺のベンダーはウィルス情報の共有を行っており、検体(かシグニチャ)を持っていることは確かですが、

提供を受けるとなると、共同研究とかにならないと難しいかもしれないですね。

最も、共同研究が一番理想なのかもしれませんが・・・

この辺りは教授と相談してみます。情報ありがとうございます。

2008/11/05 10:24:53

コメントはまだありません

この質問への反応(ブックマークコメント)

「あの人に答えてほしい」「この質問はあの人が答えられそう」というときに、回答リクエストを送ってみてましょう。

これ以上回答リクエストを送信することはできません。制限について

絞り込み :
はてなココの「ともだち」を表示します。
回答リクエストを送信したユーザーはいません