平原伸昭/トレンドマイクロ スレットモニタリングセンター

 第1回 第2回 第3回 第4回 と,4回にわたって深刻度が増している「Webからの脅威」について,具体的な事例を交えながら解説してきた。最終回の第5回では,対策の最新動向を紹介したい。

 以前の回でも触れたように,スピア型(ターゲット型)攻撃においては,従来のウイルス対策ソフトではWebからの脅威には対抗しにくくなっている。ただ,ウイルス対策製品自体が,これらの脅威に全く効果が無いわけではない。不正プログラムを検出する上で,以前からの製品で用いられてきたパターン・マッチング技術だけでは不十分だということだ。実際の現場に目を移してみても,最新の検出技術を併用していた場合には,被害を未然に防げたセキュリティ・インシデントも数多く存在する。

パターン・マッチングは誤警告の確率が低い

 まずは従来の検出機能であるパターン・マッチング方式について,あらためて確認しておこう。パターン・マッチングは,今でも多くのウイルス対策製品が採用している方式であり,今後もベースとなり続けていく技術である。

 同方式は,不正プログラムのコード内の特徴的な部分を「パターン」として取り出してデータベース化し,それを検索対象のファイル内容と照合(マッチング)する手法である(図1)。検索対象ファイルが同じコードを持っていた場合,それを不正プログラムであると判断する。メールやWebアクセスなどでやり取りされる実際のファイルを解析し,データベースと照合するため,正常なファイルを不正プログラムと判定する「誤警告」の確率が低いというメリットがある(表1)。

図1●従来のパターン・マッチングによる不正プログラムの検出
図1●従来のパターン・マッチングによる不正プログラムの検出

表1●パターン・マッチング方式のメリットとデメリット
メリット 正常なファイルを不正プログラムとして検出する「誤警告」の確率が低い
デメリット 不正プログラムのファイルを入手しないとパターン・ファイルが作成できない

 一方で,デメリットとしては,続々と現れる新種の不正プログラムを常に入手し続けて,それを逐一,パターン化してデータベースに反映させなければ検出できないという点が挙げられる。このため,スピア型(ターゲット型)攻撃などサンプルが手に入りにくい不正プログラムについては,データベースに反映しにくい。

亜種に対しては汎用パターンで対抗

 すでに出回っている不正プログラムの一部を改変して,次々と作られる亜種の存在もやっかいだ。パターンの完全な一致で判断すると,基となった不正プログラムと少しだけ違う亜種は,不正プログラムではないという結果になりかねない。そこで亜種については,汎用パターンでの亜種検出方式という技術で対抗している。トレンドマイクロでは,この検出方式を「Generic(ジェネリック)検出」と呼ぶ。

 汎用パターンは,不正プログラムの亜種それぞれの共通部分(コード)を抜き出し,データベースに事前登録する方式である(図2)。これにより,共通部分が一致していれば,亜種発生時点ですぐに検出が可能になる。この検出方法のメリットは,亜種のファイルそのものを入手しなくても,特徴が類似している場合には不正プログラムとして検出できる点だ(表2)。一方で,類似部分の調整が非常に重要になる。類似部分の調整を緩く設定すると,誤警告が発生する確率が高まる。こうしたデメリットを補うために,例えばトレンドマイクロでは,不正プログラムではない正常なファイルを蓄積した「ノーマルファイルバンク(誤警告防止バンク)」を使用して,パターン・ファイル配信前に品質テストを実施している。

図2●亜種発生時点ですぐに検出が可能な汎用パターン検出方式
図2●亜種発生時点ですぐに検出が可能な汎用パターン検出方式

表2●汎用パターンによる亜種検出方式のメリットとデメリット
メリット 不正プログラムのファイルを入手しなくても特徴が類似したファイルを不正プログラムとして検出できる
デメリット 誤警告が発生する確率が高くなる可能性がある

 このほか,パターン・マッチングを補完する技術がいくつかある。そのうちの一つが,パッカー形式の検出だ。パッカーとは自動実行型の圧縮ファイル形式のこと。ボットに代表される不正プログラム本体をパッカーで何重にも包み込み,ウイルス対策製品の検出を逃れるために使用される。パッカーを使う手法はボットに限らず,亜種を大量に作成する近年の不正プログラムの傾向として非常に良く見られるものだ。このパッカーをきちんと解きほぐすことができないと,不正プログラムがパターン・マッチングをすり抜けてしまう。

 パターン・マッチングを補完する複数の検出方式により,不正プログラムの検出率は大幅に向上した。しかしながら,様々な検出方式を融合させたパターン・マッチングを使用しても対抗できないケースが存在するのは事実である。実際,ウイルス対策製品で検出されない不正プログラムを販売する組織も数多く発見されている。例えば図3は,不正プログラムを販売するある組織のWebサイト(既にアクセス不可)で,同サイトで販売されている不正プログラムは,ウイルス対策製品に検出されないことがうたわれている。さらに,もし検出された場合には,新たに検出不能な不正プログラムを提供することを保証するという念の入れようだ。

図3●不正プログラムを販売する組織のWebサイト
図3●不正プログラムを販売する組織のWebサイト
「completly undetected from antivirus companys」(ウイルス対策会社には絶対に検出されない)とうたわれている(下線は編集部による)。
[画像のクリックで拡大表示]