「ウイルスの大規模感染！ ネットワークがダウンした！！」といったニュースを聞かなくなったと思いませんか？ しかし、セキュリティ脅威は存在し続けています。ただ、見つかりにくくなっただけなのです。

　なぜ、目立たなくなったのでしょうか。それは、ウイルス作成者などの悪意を持った人たちの目的が「破壊から利益獲得へ」と変化したからです。彼らの仕掛ける攻撃は、確実かつ静かにネットワーク内に侵入し、ユーザーに見つからないように密かに活動しています。

　「セキュリティ製品を導入すればOK」、「アラートが上がらなければ問題なし」という時代は終わったのです。いまは、セキュリティ対策のアプローチが問われる時代なのです。

■「利益獲得」のためのセキュリティ脅威とは何か

　かつてのウイルス作成者たちは、自分のウイルス作成能力がどれだけ優れているのかを誇示するために、あるいはちょっとしたいたずら心から、PCを壊したりネットワークをダウンさせたりするような「派手」なウイルスを作成していました。ところが、彼らは企業の機密情報を盗み出すことが利益（お金）になることに気付いたのです。

　企業は、ウイルス対策ソフト、ファイアウォール、侵入防御システムなどのセキュリティ対策を充実させています。それ故、悪意を持った人たちは、企業のセキュリティ防御網をすり抜け、確実に対象に到達するような攻撃を仕掛けてきます。また、企業ネットワーク内に忍び込んだ攻撃ツールは、ユーザーやセキュリティシステムに気付かれないように不正に顧客情報や機密情報を収集し、ひっそりと外部へ発信し続けます。

　このようなセキュリティ脅威は、セキュリティシステムを最新のものに更新しても、それよりも速いペースで姿を変えて攻撃をし続けてきます。また、対象企業だけを狙うような攻撃プログラムも存在しており、汎用的なウイルス定義ファイル（シグネチャ）では対応できないこともあります。繰り返しますが、「アラートが上がらなければ問題なし」とは限らないのです。

　企業からの情報漏えいは、一時的な金銭的な被害だけでなく、信用を失ったり企業の価値を下げたりと、企業の存続に大きなインパクトを与えます。情報セキュリティ担当者は、攻撃者たちが用いているテクニックについて知っておくべきでしょう。もはや「そのような攻撃手段が存在していたとは知らなかった」では済まないのです。

■ウイルスが自分で姿を変え続ける「ポリモーフィック」技術

　今回は、ウイルス対策ソフトの検出を回避するために、ウイルスが自身を複製するときに姿を少しずつ変化させるテクニック「ポリモーフィック」についてレポートします。

　世界で最初に確認されたポリモーフィック型ウイルスは、1990年に米国のMark Washburnによって作成された「1260」です。当時のウイルス対策は、ウイルスコード内の文字列を抽出し、パターンマッチングによって判定する単純な仕組みでした。1260は感染するたびに自身のコードを変化させ、文字列の抽出を困難にしました。

　1991年夏に、ブルガリアのDark Avengerが「MtE」と名付けた「ミューテーションエンジン」を開発しました。その後、さまざまなミューテーションエンジンが発表されました。困ったことに、このようなミューテーションエンジンは、いまでもウイルス作者が簡単に入手できるのです。

　最近では、特定のターゲットを狙って気付かれないように感染させる目的で、ポリモーフィックの手法が再び用いられています。特定のターゲットしか狙わないということは、ユーザーが気付かない限り、ウイルスを検出するためのウイルス定義ファイルを開発するためのサンプルが入手できません。

　また、最近のポリモーフィック型ウイルスは、ファイル感染機能にバックドアやダウンローダ機能を組み合わせています。バックドアとは、ファイアウォールなどの企業ネットワークの防御網に“裏口”を作る仕掛けです。その進入口から、ほかの攻撃ツール（トロイの木馬など）をダウンロードして、機密情報を収集します。

■ウイルス定義ファイルに頼るだけの対策では不十分

　ポリモーフィック型ウイルスは感染するたびに姿を変化させます。単純なウイルス定義ファイルによるスキャンでは検出できません。ウイルスが複合的な攻撃手法を使うように、ウイルス検出エンジンもさまざまな検出方法を組み合わせたものを利用すべきでしょう。

　また、ウイルス検出エンジンが、どれだけ速く、多くの亜種に対応できるのかも気にすべきポイントです。姿を変えたポリモーフィック型ウイルスを1つでも取り逃がせば、そこから感染が広がり始めてしまうのですから。

【習得！ セキュリティ研究所 トップページへ戻る】