2007年09月19日 05時00分 公開
特集/連載

メタモーフィック型マルウェアの脅威ポリモーフィックより手ごわい

絶えず進化するこの種のマルウェアを確実に検出できる包括的な手法は存在しないが、特定することは可能だ。

[Noah Schiffman,TechTarget]

 悪質なコードの増殖の起源は、ブートセクタに感染するウイルスがフロッピーディスク経由で拡散したかつてのスニーカーネット時代にまでさかのぼることができる。感染性コードの拡散が深刻なレベルに達したとき、セキュリティコミュニティーはパッチ、防御、スキャン、ブロックなどの機能を提供するプログラムでこれに対抗した――ウイルス対策スイートが誕生したのだ。それ以来、ウイルス作成者とウイルス対策ベンダーは、互いに相手を出し抜こうと日夜奮闘してきた。これは、悪質なコードが驚異的な速度で進化するという状況を引き起こし、新たな注入ベクター(媒介物)、回避テクニック、攻撃ペイロード(コード)を生み出した。

 新たに出現したマルウェア拡散手段の中でも、とりわけ斬新で狡猾な手法がメタモーフィック型マルウェアだ。その概念(および親戚関係にあるポリモーフィック型マルウェアの概念)を理解するには、根底にあるマルウェア暗号化手法の基本的な理解が不可欠だ。非常に単純なモデルの場合、暗号化されたウイルスには、ウイルス復号ルーチン(VDR)および暗号化されたウイルス本体(EVB)が含まれる。感染したアプリケーションを実行すると、VDRがEVBを復号する。これにより、そのウイルスは意図された機能を実行することが可能になる。拡散フェーズに入ると、ウイルスは再び暗号化され、ほかのホストアプリケーションに付加される。複製のたびに新しい鍵がランダムに生成され、これによりコードの見掛けを変化させる。しかしVDRは変化しない。それがこのタイプのウイルス固有の弱点であり、そのためにシグネチャ認識手法によって検出されるのだ。

 ポリモーフィックとは「外観上の変化」を意味し、暗号化されたコードに追加コンポーネントとしてミューテーションエンジン(ME)を付加する。MEは基本的に、ほかのプログラムの機能を変えずに、そのコードだけを変えることができる。MEは例えば、EVBを復号する能力を維持したまま、複製のたびにVDRのコードを変えることができる。VDRの連続的変化は、ジャンクコードの挿入、命令順序の変更、数学的対偶などの難読化手法を用いることによって実現できる。しかし、復号されたウイルス本体を保持するというのがそのアキレス腱なのだ。複雑なシグネチャの形態を提供することになるからだ。その結果、包括的復号スキャニング、ネガティブヒューリスティック分析、エミュレーション・仮想化技術などの高度な手法が、ポリモーフィック型ウイルス検出に効果を発揮することになった。

関連ホワイトペーパー

ウイルス | マルウェア | 暗号化


ITmedia マーケティング新着記事

news158.jpg

「リベンジ消費」は限定的、コロナ禍以前の状態に完全に戻ると考える人はわずか25%――野村総合研究所調査
コロナ禍が収束した場合の生活者の消費価値観や生活行動はどうなるのか。野村総合研究所...

news176.jpg

Teslaが成長率1位、LVMHグループ5ブランドがランクイン 「Best Global Brands 2021」
毎年恒例の世界のブランド価値評価ランキング。首位のAppleから10位のDisneyまでは前年と...

news056.jpg

「巣ごもり消費」で選ばれるブランドになる「シャンパンタワー型コミュニケーション戦略」のすすめ
「巣ごもり消費」はPRをどう変えたのか。コロナ禍における需要喚起に有効なB2C向けの統合...