皮肉なことだが,マルウエアによる攻撃が激しい勢いで増えている要因の一つは,ウイルス対策ソフト用技術の進化がもたらしている。理由は極めて単純だ。ウイルス対策ソフトのスキャン機能がトロイの木馬やウイルスの活動をうまく阻止できないとしたら,マルウエアの背後にいる悪人は新作を開発する必要性などほとんど感じないだろう。「マルウエアの作者は世界中のパソコン・ユーザーを漏れなく捕まえようとして,象が落ちるほど大きな穴を掘っている」と例えることもできる。というのも,ウイルス対策ソフトが新たに登場する多くのマルウエアへの対応を迫られ,パソコンの動作を遅くしてしまっているからだ。
落とし穴を掘り,マルウエアを隠すという行為はたとえ話であり,実際の悪人は主にパッカー(「UPX」や「Petite」など)やプロテクタ(「Armadillo」や「Themida」など)といったツールを使う。パッカーにはプログラムのサイズを小さくする(ハード・ディスクの使用量を減らす)という,プロテクタにはプログラムに対するパッチ適用やハッキング,リバース・エンジニアリングを防ぐという,悪事と無関係な用途がある。ところがマルウエア作者は,マルウエアがウイルス対策ソフトから検出されないようにする目的でパッカーとプロテクタを利用することがよくある。
特に商用プロテクタは,マルウエアの中にスパム用ボットをうまく隠せることから,マルウエア作者に好まれる。付け加えておくと,プロテクタを使ったファイルは,同様にプロテクタを使って難読化した無害なファイルと同じように見える。この手口を使ったマルウエアの事例は増えている。
その結果,パソコン上のウイルス対策ソフトは当たり前のように,「Themida」でパックしたゲームやスパム用ボットと遭遇する。ウイルス対策ソフトがゲームなのかボットなのかを区別するには,保護されている「中身」を知る必要がある。ところが残念なことに,中身を手早く見極める簡単な方法はなく,検査処理には時間がかかる。
ソフトウエア保護策を使う開発者の方々には,ぜひとも,よく考えていただきたい。自分の作った無害なファイルがウイルス対策ソフトに誤ってブロックされたり,長くかかる検査処理のせいでパソコンの速度が低下したりするリスクが高まっているのだ。いずれもユーザーに迷惑をかけてしまう。プロテクタによる難読化が不可欠だと思うなら,ファイルへのデジタル署名だけは施そう。ファイル提供元を調べることが可能になり,疑われにくくなる。
要点をまとめよう。プロテクタはあまりにも悪用されているため,もはや安全なソフトウエア技術でなくなった。使用しないで済むのなら,使わない方がいいだろう。
Copyrights (C) 2009 McAfee, Inc. All rights reserved.
本記事の内容は執筆時点のものであり,含まれている情報やリンクの正確性,完全性,妥当性について保証するものではありません。
◆この記事は,マカフィーの許可を得て,米国のセキュリティ・ラボであるMcAfee Avert Labsの研究員が執筆するブログMcAfee Avert Labs Blogの記事を抜粋して日本語化したものです。オリジナルの記事は,「Who Digs the Elephant Trap?」でお読みいただけます。
