「2006年に入ると,ファイル感染型のマルウエア(悪質なプログラム,広義のウイルス)が多数出回るようになった。ユーザーからの報告件数も多い。今後もこの傾向は続くだろう」――。米Symantecのセキュリティ・チームであるSymantec Security Responseのオペレーションディレクターを務めるKevin Hogan氏は11月6日,プレス向けの説明会において,2006年のセキュリティ動向や今後の傾向などを解説した。
目的は「見つかりにくくすること」
ファイル感染型とは,自分自身を既存のファイルに埋め込んで感染を広げるマルウエアのこと。元々,コンピュータ・ウイルスとはファイル感染型のマルウエアを指すが,近年ではマルウエア全般をウイルスと呼ぶことも多い。
ファイル感染型は近年では減少傾向にあり,単独のプログラムとして動作するマルウエアが“主流”となっている。ところが最近では,「“純粋”なウイルスが再び猛威を振るい始めた」(Hogan氏)。
ファイル感染型を使う一番の目的は「見つかりにくくするため」(Hogan氏)。単独のマルウエアならば,セキュリティ・ベンダーなどが提供する情報に基づいて「ファイル名やファイル・サイズで感染の有無を調べることができる。しかし,既存ファイルに感染するマルウエアは見つけにくい」(同氏)。
また,ウイルスのサイズが小さいことも発覚しにくい理由の一つとして挙げる。感染しても,元のファイルのサイズは大きくは変化しない。というのも,最近のファイル感染型の多くは「別のマルウエアをダウンロードして実行するだけの『ダウンローダ』」(Hogan氏)であるためだ。「以前のウイルスとは異なり,ウイルス自体は直接悪さをしない」(同氏)。実際の攻撃は,ダウンロードされる別のマルウエアが“担当”する。それらはインターネット上のサイトに置かれ,頻繁に“バージョンアップ”されているという。
地域化が進むマルウエア,予想外の拡大も
Hogan氏は別の傾向として,マルウエアの“地域化”が進んでいることを挙げる。「2年ほど前から,特定の国や地域にしか広まらない“地域特有”の脅威(攻撃やマルウエアなど)が増えている。日本では,ファイル共有ソフトWinnyで感染を広げる『Antinny』が典型例だ。特定の企業や組織を狙うTargeted Attack(スピア攻撃)が増えていることもその背景にある。今後もこの傾向は続くと予想される」(Hogan氏)
しかしその一方で,地域特有の脅威が思わぬ形で別の地域へ拡大するケースもあるという。10月に相次いだMP3プレーヤなどを介したウイルス感染がその典型的な例だ。10月13日は日本マクドナルドが賞品として配布したMP3プレーヤに,10月17日は米Apple Computerが出荷したiPodの一部に,Windows上で動作するウイルスが含まれていることが明らかとなった(関連記事1:賞品のMP3プレーヤにウイルス,関連記事2:ビデオ対応iPodの一部がWindowsウイルスに感染)。
いずれも,「デバイスの製造地域で,その地域特有のマルウエアが組み込まれて出荷された」(Hogan氏)ケースであるという。例えば賞品のMP3プレーヤには,中国で主に利用されているインスタント・メッセンジャ「QQ」のパスワードを盗むウイルスが含まれていた。
「これらのケースのように,デバイスによって地域特有のウイルスが拡散することは今後もありうる。ユーザーはこの危険性を認識し,パソコンだけではなく,(パソコンに接続する)デバイスのウイルス・スキャンも実施すべきだ」(Hogan氏)
