2007年09月19日 05時00分 公開
特集/連載

メタモーフィック型マルウェアの脅威ポリモーフィックより手ごわい

絶えず進化するこの種のマルウェアを確実に検出できる包括的な手法は存在しないが、特定することは可能だ。

[Noah Schiffman,TechTarget]

 悪質なコードの増殖の起源は、ブートセクタに感染するウイルスがフロッピーディスク経由で拡散したかつてのスニーカーネット時代にまでさかのぼることができる。感染性コードの拡散が深刻なレベルに達したとき、セキュリティコミュニティーはパッチ、防御、スキャン、ブロックなどの機能を提供するプログラムでこれに対抗した――ウイルス対策スイートが誕生したのだ。それ以来、ウイルス作成者とウイルス対策ベンダーは、互いに相手を出し抜こうと日夜奮闘してきた。これは、悪質なコードが驚異的な速度で進化するという状況を引き起こし、新たな注入ベクター(媒介物)、回避テクニック、攻撃ペイロード(コード)を生み出した。

 新たに出現したマルウェア拡散手段の中でも、とりわけ斬新で狡猾な手法がメタモーフィック型マルウェアだ。その概念(および親戚関係にあるポリモーフィック型マルウェアの概念)を理解するには、根底にあるマルウェア暗号化手法の基本的な理解が不可欠だ。非常に単純なモデルの場合、暗号化されたウイルスには、ウイルス復号ルーチン(VDR)および暗号化されたウイルス本体(EVB)が含まれる。感染したアプリケーションを実行すると、VDRがEVBを復号する。これにより、そのウイルスは意図された機能を実行することが可能になる。拡散フェーズに入ると、ウイルスは再び暗号化され、ほかのホストアプリケーションに付加される。複製のたびに新しい鍵がランダムに生成され、これによりコードの見掛けを変化させる。しかしVDRは変化しない。それがこのタイプのウイルス固有の弱点であり、そのためにシグネチャ認識手法によって検出されるのだ。

 ポリモーフィックとは「外観上の変化」を意味し、暗号化されたコードに追加コンポーネントとしてミューテーションエンジン(ME)を付加する。MEは基本的に、ほかのプログラムの機能を変えずに、そのコードだけを変えることができる。MEは例えば、EVBを復号する能力を維持したまま、複製のたびにVDRのコードを変えることができる。VDRの連続的変化は、ジャンクコードの挿入、命令順序の変更、数学的対偶などの難読化手法を用いることによって実現できる。しかし、復号されたウイルス本体を保持するというのがそのアキレス腱なのだ。複雑なシグネチャの形態を提供することになるからだ。その結果、包括的復号スキャニング、ネガティブヒューリスティック分析、エミュレーション・仮想化技術などの高度な手法が、ポリモーフィック型ウイルス検出に効果を発揮することになった。

関連ホワイトペーパー

ウイルス | マルウェア | 暗号化


ITmedia マーケティング新着記事

news156.jpg

サイロ化の現実 75%の企業は部門間が連携せず、むしろ競争関係にある――Accenture調査
デジタル変革(DX)における不十分な事業部間連携は業績低下につながるというAccentureの...

news052.png

ゲーム業界がコロナ禍でTwitterを活用したコミュニケーションに注力した理由
コロナ禍において「巣ごもり消費」が拡大し追い風が吹いているといわれるゲーム業界だが...

news139.jpg

コロナ禍の観光に見える20の兆しとは? TBWA HAKUHODOなどが「観光復興ガイド」を公開
SNS上の旅行に対する価値観の激しい変化を分析し、そこから見えた20の新たな兆しとその後...