マルウエア(ウイルス)を使ったサイバー攻撃が後を絶たない。マルウエアの検出手法としては、既知ウイルスのプログラム(コード)の特徴と照合するパターンマッチングや、プログラムの振る舞いから判断するビヘイビア検出などが一般的だ。こういった従来の方法は、マルウエアのプログラム(コード)に着目している。
現在、内閣官房情報セキュリティセンター(NISC)の内閣事務官を務める大坪雄平氏は、それらとは全く異なるアプローチの検出手法を開発した。ファイルのサイズや構造に着目した方法だ。マルウエアによっては、ファイルサイズを調べるだけで検出できるという。新しい検出手法について、開発者の大坪氏に話を聞いた。
(聞き手は勝村 幸博=日経コンピュータ)
ファイルサイズを調べるだけでマルウエアを検出できるという手法について教えてほしい。
内閣官房情報セキュリティセンター(NISC) 内閣事務官 大坪雄平氏
[画像のクリックで拡大表示]
今回開発した手法は、文書ファイル形式のマルウエア、すなわち「悪性文書ファイル」が対象になる。悪質な実行ファイルが埋め込まれた「doc」「xls」「ppt」といったOffice文書、「jtd」などの一太郎ファイル、PDFファイルを検出するために開発した。標的型攻撃の多くでは、悪性文書ファイルが添付されので、今までとは異なるアプローチで悪性文書ファイルを検出できれば、標的型攻撃対策として非常に有効だと考えた。
今回の手法では、文書ファイルの構造に着目した。一般的な文書ファイルには、表示に必要な内容しか含まれていない。つまり、パソコンの画面に表示される内容と、ファイルの内部構造が一致する。ところが、悪質な実行ファイルという“余計なもの”が含まれていると、表示内容と内部構造は一致せず、不整合が生じる。その一つが「ファイルサイズの不整合」だ。
