進化を続けるPCへの脅威PCを脅威から守る究極の対策は?(2/2 ページ)

» 2007年12月21日 08時00分 公開
[小林哲雄,ITmedia]
前のページへ 1|2       

もちろん「改良」も進む悪質プログラム

 最近のマルウェアは、こうした例のように人や国が分散化しているだけではない。プログラムそのものも「改良」が行われている。例えば「ルートキット」と呼ばれるプログラムはOSの深くに潜り込むため、従来のセキュリティソフトを利用していても検知の網を潜り抜け、存在すら確認しにくい。現在販売されている製品ではほぼ解決されているものの、数年前では考えられなかった手法が一般化していることの一つの例である。

 人や国のみならず、プログラム自身の分散化もすでに進んでいる。先のルートキットも含めて、先兵となるマルウェアは直接被害を及ぼすものではなく、単にほかのWebサーバから別のプログラムモジュールをダウンロードする「ダウンローダ」にすぎない。そしてそのダウンローダは非常に細分化して作り変えられているため、従来のアンチウイルスソフトが行っているシグネチャ分析では新型亜種として検知できないのである。

 その例を一つ紹介しよう。ZLOB(ゼットロブ)という動画コーデックに紛れて侵入する有名なスパイウェア(トロイの木馬)があり、頻繁にバージョンアップを繰り返すことで知られている。筆者が以前ZLOBについて調べていたところ、とあるサイトで数日前に捕獲したものとは別のバージョンが同じサイトで配布されていて驚いたことがある。実際、新しく捕獲したZLOBは当時筆者が使っていたアンチウイルスソフトをはじめ、かなりの製品でその時点で検知できなかった。トレンドマイクロの資料を見ると、ZLOBの命名が「TROJ_ZLOB.ERT」となっており、.ERTの部分は亜種がこの数だけ見つかっていることを表している。この手の命名はExcelの横列と同様、AからZまで使い切るとAA,AB……のように名前を増やしていく。すでに3桁の数の亜種が存在しているわけだ。このように頻繁な亜種の作成が行われると、基本的にシグネチャデータに頼る従来型のアンチウイルスソフトでは対応が難しくなっているというのが分かるだろう。

 配布方法も変化しつつある。先に説明したダウンローダは検知を逃れるためだけでなく、機能を限定している故にファイルサイズを小さく抑えることができる。このため、下手なHTMLメールよりも小サイズで送信可能だ。小サイズにすることによって同じトラフィック量でもより多くのスパムメールとして送信できる。届けられるスパムの多さは読者も体感しているだろうし、米Symantecシマンテックの最新レポート(PDF形式)や米Barracuda Networksの年次レポートなど数値に差はあれど、いずれも高い割合を占めているのは議論の余地がないだろう。また、汎用的に利用できるダウンローダを使うことによって、接続元に応じてダウンロードさせるソフトを変えたり、ZLOBのように亜種の最新版を配布させることも可能になる。

 最近では、メールにファイルを添付せずWebページへのリンクのみ記載しておき、そこへアクセスしたユーザーに何らかの手法でダウンロードさせるという手法も見られる。企業によってはメールへの添付ファイルを禁止したり、サーバ側で自動的に削除したりしているところもあるが、こうしたスパムの手法には無力である。

 さらに恐ろしいのは、OSやブラウザなどのアプリケーションに潜む脆弱性を突いた攻撃である。ユーザーが何もアクションをしなくても侵入が行われてしまう。次回はこの新たな脅威と対策について考えてみる。

前のページへ 1|2       

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ