今日のセキュリティ脅威は、さまざまな手法を駆使して攻撃対象に侵入し、ユーザーやセキュリティプログラムに見つからないように自身の姿を隠しながら、不正な活動を継続します。

　セキュリティ研究所レポートNo.002では、不正行為を隠ぺいするためのテクニックとして「rootkit」の悪用について報告しました。セキュリティ脅威を見つかりにくくするための“ステルス化”の代表的な手法です。

　第3回となる本レポートでは、マルウェアやセキュリティリスクプログラム（スパイウェア、アドウェア、ミスリーディングソフトウェアなど）が検出や除去を困難にさせるために用いているテクニックを、いくつかの例を交えて取り上げます。

■自身のコードを実行中のプロセスに組み込む

　マルウェアやセキュリティリスクプログラムの中には、自身のコードをシステムで実行中のプロセスの中に組み込むものがあります。目的は除去を困難にさせることですが、システムのセキュリティやパフォーマンスの低下、動作の不安定化などの被害も引き起こします。

　このようなプロセス挿入型のプログラムは、特別なツールや詳しい知識なくして手動で除去することが極めて困難であることも特徴の1つです。

　プロセス挿入型のセキュリティリスクプログラムには、予期しない広告をInternet Explorer上に表示したり、ユーザーがアクセスしたWebサイトを追跡したりするアドウェア「Adware.Aurora」などがあります。

■自身を監視させて自動的に復活する

　マルウェアの中には、watchdogプロセスのテクニックを悪用するものがあります。watchdogとは、システム上でプロセスやサービスが正常に作動し続けるためにそれらを監視し、異常を検知した場合には停止や再起動を行うためのプロセスです。

　このテクニックを悪用するマルウェアは2つのプロセスを走らせて互いを監視させます。そして、一方のプロセスが停止した場合には、もう一方のプロセスが自動的に再起動させます。アドウェア「Adware.Websearch」は、このテクニックを利用しています。

　同様に、トロイの木馬「Trojan.Linkoptimizer（別名：Gromozon）^*1」は、不正なモニタリングシステムを実行して自身のインストールの完全性を常時監視する仕組みを備えています。そして、管理者やセキュリティプログラムによる除去や修復処理が行われるたびに、自身を再インストールします。

■圧縮を利用して検出を困難にさせる

　これまで実に多くのマルウェアがランタイムパッカーを悪用してきました。ランタイムパッカーは、実行形式のファイルを圧縮されたままでも実行可能な状態で圧縮するプログラムです。圧縮形式のままでは内容が分かりにくく、また、実行時にメモリ内に展開されるまでは全く分からなくすることもできるため、セキュリティプログラムによる検出を困難にさせるために悪用されます。

　さらに、ファイルサイズが小さくなることにより短い時間でダウンロードさせることができるため、マルウェア感染の拡大をスピードアップさせるという点においても、マルウェア作者にとってのメリットがあります。

　また、圧縮のたびに生成されるファイルを異なるものにするポリモーフィックパッカーは、圧縮後のファイルのパターン化を避けることにより、セキュリティプログラムによる検出をさらに困難にさせます。

■代替データストリーム（ADS）に隠す

　代替データストリーム（ADS：Alternate Data Streams）は、1つのファイルが複数のデータストリームを持つことを可能にするNTFSの機能です。ファイルのプロパティで表示できる「タイトル」「サブジェクト」「作者」などの情報の保存、Macintosh共有を作成した場合のリソースフォークの保存などのために使用されます。

　マルウェア作者らは当然のようにADSに目を付けました。なぜならば、ADSに格納されたファイルは、第三者が特別なツールを用いることなくして発見することが事実上不可能だからです。また、ウイルス対策製品などのセキュリティプログラムのすべてがADSのスキャンをするわけではないからです。

　先述のTrojan.Linkoptimizerや「Backdoor.Rustock.A^*2」などのマルウェアには、ADSにファイルを隠す手法が取り入れられています。

■マルウェアの回避テクニックに対処できる製品選定を

　検出や除去を困難にさせるテクニックはさまざまです。しかも、多くの場合では、複数のテクニックが組み合わせて用いられています。OSに標準で用意されているモニタリングツールでマルウェアの挙動を追うことは困難です。セキュリティ担当者は、マルウェアのテクニックや動作の仕組みを理解し、適切に対処できる製品を選ぶ必要があります。

　本レポートで紹介しているようなテクニックを駆使するマルウェアに対処するためには、コードレベルでパターンを照合するだけでなくプログラムの挙動も分析するなど、システム内部の動きを詳細に監視できる能力がセキュリティプログラムに必要になります。

　また、ポートを通じたアタックから保護するだけでなく、マルウェアに感染してしまった場合に外部への情報発信やマルウェアが自身をアップデートすることを阻止するという意味においても、デスクトップファイアウォールなどの機能も必要でしょう。

　そして、システムの深部に組み込まれたマルウェアを適切に除去できることも非常に重要です。いま、求められるセキュリティ対策製品は、マルウェアを高精度で検出できるだけでなく、システムの安定性を損なわないよう完全かつ安全に除去し、修復できるものなのです。

【習得！ セキュリティ研究所 トップページへ戻る】