とだけ書くととても痛々しい質問ではありますが、端的に示すとこのような表現になります。
マルウェアとそれに対する様々なアンチウィルスソフトの挙動について研究をしているのですが、
先日ハニーポットを設置したところ、期待するほどの検体が引っかからず、
時間だけが過ぎて行ってしまっている状態です。
そこで効率的に検体を入手できる方法があるのであれば是非とも教えて欲しいです。
500個程度もあればあらかたの動作確認が出来るかとは思いますが、ハニーポット設置ではあと数ヶ月かかりそうなペースです。
多ければ多いほど良い感じで、検体の種類がいろいろとあるともっと良い感じです。
無償であれば割と手段は選びませんが、明らかに危険な方法は避けます。(Winnyのような別問題が発生するような)
実験環境はセキュアに構築されていますので、セキュリティに関するコメントはなしで大丈夫です。
よろしくお願いします。
No.1
516
9
42pt
どのようなハニーポットをわかりませんが
Blog等を立ち上げメールアドレス晒した状態にするとしばらくして
マルウェアが添付されたspamメールが大量に届くようになるかと思います。
この夏あたりからZIPやRAR圧縮されたマルウェアが添付されたspamが大変に多くなりました。
マルウェアを集めようと思っているわけではありませんが
私の持っている数個のアドレスだけでこの夏から100種近くのマルウェアが到着しています。
No.2
20411
28pt
一般的にいって、ウィルスを含むファイルは不用意に一般に出回って被害が拡大したり、同様なことを行う者が発生することを予防する為に、あまりおおっぴらに公開はされず、特定の専門家の間でのみ情報交換が行われているという状況にあることは、多分ご存知だと思います。
それでも学術的な目的のために、ウィルスのサンプルが必要であるなら、身元と使用目的を明示してウィルス対策ソフトの開発メーカに必要なデータを提供してもらえないか交渉するのが早道だと思います。
特定のウィルス対策ソフトのメーカーと交渉することが、あなたの目的にそぐわないのであれば、以下のような任意団体に同様な依頼を行う手法をとってもいいでしょう。
あるいは、
Virustotal のように複数のウィルス検索エンジンによる検索サービスを提供しているようなところにデータを提供してもらえないか依頼することも一考に価するでしょう。
CERT、JVNは脆弱性やウィルス情報は取り扱うが、
その検体(シグニチャ含む?)や脆弱性コードまでは取り扱わないと何かの論文で読んだことがあります。
あとはアンチウィルスのベンダーですか・・・
あの辺のベンダーはウィルス情報の共有を行っており、検体(かシグニチャ)を持っていることは確かですが、
提供を受けるとなると、共同研究とかにならないと難しいかもしれないですね。
最も、共同研究が一番理想なのかもしれませんが・・・
この辺りは教授と相談してみます。情報ありがとうございます。
11
11
1
1
1
ハニーポットはNepenthesを導入しました。
メールアドレスですか・・・今までスパムメール対策をしまくってきたので、手元にスパムメールがない状態なので、
収集用のメールアドレスを作成してスパムメールで収集する方法も併用してみようかと思います。
情報ありがとうございます。