News	2002年4月5日　10:45 PM 更新

懸念すべきウイルス動向は――トレンドマイクロがセミナー

日本語ウイルスや，プレビューしただけで感染するウイルス……トレンドマイクロアンチウイルスセンターの岡本勝之氏は，「これまでの常識は通用しなくなっている」と警鐘を鳴らす

　IPA（情報処理振興事業協会）セキュリティーセンターによれば，日本語ウイルス「Fbound」が高い実害率を記録した（別記事参照）。件名が日本語で「例の件」や「重要」と書かれているため，ついダブルクリックしてしまったユーザーが多かったのだろう。

　今後も，いたずら目的の日本語ウイルスは増加すると思われるが，報道関係者向けに技術セミナーを行ったトレンドマイクロアンチウイルスセンターウイルス解析担当の岡本勝之氏は，最新のウイルス動向に関する懸念として，「セキュリティホールの修正プログラムが出されてから，（そのセキュリティホールを狙ったウイルスが登場するまでの時間が短くなっている」こと挙げた。

　これまで，セキュリティホールを悪用したウイルスは，修正プログラムが提供されてから出現するというのが常識だったが，「今後，セキュリティホールが発見された段階でウイルスが世に出るようなことになれば，その被害は甚大だと考えられる」（岡本氏）。

　さらに岡本氏は，マイクロソフトの「.NET Framework」で提供されているプログラム言語「C#」で開発されたプログラムに感染する「PE_DONUT.A」について触れ，「.NETやXMLをベースとしたWebサービスは分かりやすく，開発者も簡単に使えるだけに，ウイルス作成者に悪用される可能性も高い」と指摘する。

　「現在でも，プレビューするだけで感染するウイルスが登場するなど，これまでのウイルスに関する常識は通用しなくなっている。さらに，動画配信が普及すれば，再生プレーヤーで開くとエラーが発生し，不正プログラムをドロップするタイプのウイルスが現れたり，チャットプログラム自体のセキュリティホールを狙ったウイルスが登場するかもしれない」（岡本氏）。

DOS時代の技術が復活

　ウイルス検知方法には，既知のウイルスの特徴とプログラムコードを照合する「パターンマッチング」方式やプログラムの動きを解析し，登録済みのルールと照合して変種／亜種ウイルスを検知する「ルールベース方式」などがある。

　トレンドマイクロでは現在，ルールベースの検知方法として「Macro Trap」（標準テンプレートへのマクロのコピーなどマクロ特有の動きを監視），「Script Trap」（VBSやJSで記述された不正プログラムを検出），「Boot Trap」（ディスクのシステム領域を監視し，不正な書き込みがあった場合に警告を出す」の3種類を使用している。

　ただ，ルールベース方式には，ルールに一致していてもウイルスとは限らない場合があるほか，プログラムの動作にエミュレーションが必要なため，システムのパフォーマンスが低下する可能性が高いという問題もある。それでも「より正確で強力なウイルス検索エンジンを目指す」（岡本氏）ため，トレンドマイクロでは，上の3つのTrapに加え，「File Trap」（ファイルがオープンされた時に監視を開始し，ファイルがクローズするまで監視を続ける。クローズ時にオープン時と違っていれば警告を出す），ならびに「Memory Trap」（システムメモリ全体を監視し，不正に常駐に対し警告を発する）を追加するという。

　「File TrapならびにMemory TrapはDOS時代の技術で，Windows 95以降は適用されていない。しかしながら，亜種／変種に対応するために，再び研究開発を行っている」（岡本氏）。

　また，トレンドマイクロではファイル感染型ウイルスに対する措置として，.exeや.comのような実行型ファイルの行動を監視するTrapの追加も予定している。

関連記事
日本語ウイルス「Fbound」，高い実害率　IPA調べ

関連リンク
トレンドマイクロ

Copyright © ITmedia, Inc. All Rights Reserved.