2007年09月19日 05時00分 UPDATE
特集/連載

ポリモーフィックより手ごわいメタモーフィック型マルウェアの脅威

絶えず進化するこの種のマルウェアを確実に検出できる包括的な手法は存在しないが、特定することは可能だ。

[Noah Schiffman,TechTarget]

 悪質なコードの増殖の起源は、ブートセクタに感染するウイルスがフロッピーディスク経由で拡散したかつてのスニーカーネット時代にまでさかのぼることができる。感染性コードの拡散が深刻なレベルに達したとき、セキュリティコミュニティーはパッチ、防御、スキャン、ブロックなどの機能を提供するプログラムでこれに対抗した――ウイルス対策スイートが誕生したのだ。それ以来、ウイルス作成者とウイルス対策ベンダーは、互いに相手を出し抜こうと日夜奮闘してきた。これは、悪質なコードが驚異的な速度で進化するという状況を引き起こし、新たな注入ベクター(媒介物)、回避テクニック、攻撃ペイロード(コード)を生み出した。

 新たに出現したマルウェア拡散手段の中でも、とりわけ斬新で狡猾な手法がメタモーフィック型マルウェアだ。その概念(および親戚関係にあるポリモーフィック型マルウェアの概念)を理解するには、根底にあるマルウェア暗号化手法の基本的な理解が不可欠だ。非常に単純なモデルの場合、暗号化されたウイルスには、ウイルス復号ルーチン(VDR)および暗号化されたウイルス本体(EVB)が含まれる。感染したアプリケーションを実行すると、VDRがEVBを復号する。これにより、そのウイルスは意図された機能を実行することが可能になる。拡散フェーズに入ると、ウイルスは再び暗号化され、ほかのホストアプリケーションに付加される。複製のたびに新しい鍵がランダムに生成され、これによりコードの見掛けを変化させる。しかしVDRは変化しない。それがこのタイプのウイルス固有の弱点であり、そのためにシグネチャ認識手法によって検出されるのだ。

 ポリモーフィックとは「外観上の変化」を意味し、暗号化されたコードに追加コンポーネントとしてミューテーションエンジン(ME)を付加する。MEは基本的に、ほかのプログラムの機能を変えずに、そのコードだけを変えることができる。MEは例えば、EVBを復号する能力を維持したまま、複製のたびにVDRのコードを変えることができる。VDRの連続的変化は、ジャンクコードの挿入、命令順序の変更、数学的対偶などの難読化手法を用いることによって実現できる。しかし、復号されたウイルス本体を保持するというのがそのアキレス腱なのだ。複雑なシグネチャの形態を提供することになるからだ。その結果、包括的復号スキャニング、ネガティブヒューリスティック分析、エミュレーション・仮想化技術などの高度な手法が、ポリモーフィック型ウイルス検出に効果を発揮することになった。

関連ホワイトペーパー

ウイルス | マルウェア | 暗号化


ITmedia マーケティング新着記事

news125.jpg

エコ活動・SDGsへの意識 「フードロス」「廃プラスチック」に高い関心――CCC調査
エコ・環境問題への関心や関連トピックスへの認知度などを調査しています。

news115.jpg

国内アフィリエイト市場、仮想通貨やロボアドバイザー関連商材の成長で金融分野が拡大――矢野経済研究所調べ
矢野経済研究所の調査によると2019年度の国内アフィリエイト市場規模は前年度比8.7%増で...

news040.jpg

アノニマスリードへの対応からインサイドセールスまで、MAツールを使った体制を構築――ONE COMPATH
20〜40代女性を中心に利用されている国内最大級の電子チラシサービス「Shufoo!」を運営す...