宣伝不足のせいで,セキュリティ相談室に相談はめったにこない。室長の四谷博士と市谷相談員は,今日も将棋をしながら相談を待っていた。
市谷:これで王手飛車取りってことで。
室長:…。お,相談のメールがきたようじゃぞ。
市谷君:いきなり話をそらさないでください。…あ,本当だ。読みますね。「とある会社でネットワークを管理している者です。すべてのパソコンにウイルス対策ソフトをインストールしています。ところがパソコンに詳しい知り合いから,ウイルス対策ソフトでは検出できないウイルスがあると聞きました。ホントですか」。
室長:簡単な質問じゃな。回答は,「ホントです」じゃ。解決じゃな。
市谷:そんなそっけない回答でいいんですか…。そもそも質問はまだ終わってません。「検出できないとしたらなぜでしょうか。どのようにしたら対策ソフトで検出できないウイルスを検出できるようになるのでしょうか」。
室長:ううむ…。ぐっと相談らしくなってきたな。
市谷:じゃ,最初の質問から。なぜ最近のウイルスは対策ソフトで検出しにくいんでしょうか。
室長:それはじゃ…。
大部分のウイルスは,今でもウイルス対策ソフトで検出できる。しかし最近,対策ソフトで検出できないウイルスが登場している。これらのウイルスは,ウイルス対策ソフトから検出されないようにさまざまな工夫を凝らしている。
検出されない工夫を凝らす
確認されている方法はいくつかある。(1)対策ソフトを停止させる,(2)OSなどのプロセスと同じ名前で動く,(3)OSに細工して存在を見えなくする,(4)モジュール化して対策ソフトで検出されにくくする──といった方法が代表的である。(1)~(3)は,侵入した後に見つけられにくくする方法だ。(4)は,侵入時にウイルス対策ソフトに見つけられにくくする方法である(図1)。
図1●今どきのウイルスは感染に気付きにくい さまざまな技巧を凝らして,ウイルス対策ソフトで検出できないようになっている。対策ソフトで検出されないからといって安心できない。 [画像のクリックで拡大表示] |
どれも従来のウイルス対策ソフトウエアなどの特徴をよく研究した偽装工作で,厄介なことこの上ない。システムの内部を詳細に調査してもわからない場合すらあり得てしまうのだ。
さらに最近では,多数の亜種を派生させるウイルスが増えている。その登場スピードに追い付かないため,ウイルス対策ソフトであってもすべてを検出できない。
インターネット接続事業者が加盟するTelecom-ISAC JAPANが2005年4月から5月にかけて実施した調査では,ハニーポットを使って42日間に集めたウイルス3705種のうち,検出できなかったものが2983種類だった。全体量で見ると検出できたものが3万1864個,検出できなかったものが3537個なので,検出できたものの方が数は多い。そうだとしても,検出できないものがかなり増えているのは間違いない。
室長:というわけじゃ。
市谷:どうしてそんなことになっているんですかねえ。
室長:うむむ…。それは,最近のウイルスが営利目的になっているからなんじゃな。
従来からあったウイルスは,パソコンのデータを破壊したり動作を狂わせて,ユーザーのパソコン利用を妨害するものが多かった。ウイルスをばら撒く側の主目的は,騒ぎを起こすこと。このため従来からあるウイルスは,多数のユーザーを標的として無差別に放たれるのが普通だ。
このようなウイルスは,ユーザーにとっては大いに迷惑だが,検出は難しくない。騒ぎが起これば,ウイルスに感染したことはすぐわかる。対策ソフト・ベンダーも流行にすぐ気付くので,素早く対策ソフトのウイルス・データベースを更新する。このため,流行のごく初期に感染した不運なユーザーを除けば,対策ソフトをきちんと更新することで検出できる。