Tweet

第13回 プレイバックPart.II：シフトした脅威の中で

　第12回「プレイバックPart.I：ウイルスのかたち、脅威のかたち」に引き続き、コンピュータウイルスの過去を振り返ろう。Part.IIではいったんその歴史から離れ、コンピュータウイルスの進化、そして道具としてのコンピュータウイルスにフォーカスを当てたいと思う。

【関連記事】 第12回 プレイバックPart.I：ウイルスのかたち、脅威のかたち - ＠IT via kwout

　コンピュータウイルスの進化、そして道具へ

　自身の複製をあらゆる経路から世界中に、そして自由に広げることができるようになり生命体とも呼べるレベルとなったコンピュータウイルスだが、本当の生物界に食物連鎖があるように、彼らには皆さんがご存じの天敵「ウイルス対策ソフト」が存在する。ウイルスは「ウイルス対策ソフト対策」という進化をしない限り、絶滅の危機にひんしてしまうのである。コンピュータウイルス作成者、またはそれを改造し、広めようとする者もそのことには気付いており、実際に「ウイルス対策ソフト対策」が行われているのである。

　その対策の初歩として、彼らはウイルス対策ソフトの基本動作に着目した。ウイルス対策ソフトは、基本的にパターンマッチングという手法を用いて、検査対象のファイルがコンピュータウイルスであるか否かということを判別している。

　この手法を逆手に取ると、既知のウイルスパターンにさえ合致しなければ、コンピュータウイルスではない、と判断されるということだ。

図1　ウイルス対策ソフトはパターンマッチングでウイルスかどうかを判断している

　そのパターンマッチを回避するために、コンピュータウイルスは以下のような方法で進化を遂げることとなる。

　ポリモーフィック――暗号化でパターンマッチを回避

　ポリモーフィック（Polymorphic）とは、「多形の、多様な形の、多形態の」といった意味を持つ言葉で、生物学でも用いられる言葉である。

　コンピュータウイルスの世界では、自身の一部をランダムな暗号化コードで暗号化することでパターンマッチを回避するものである。当然、暗号化されているので実行される際には、復号コードを用いるのだが、この復号コードがウイークポイントとなる。つまり、復号コードを検出することで、コンピュータウイルスであるということも検出できてしまうのである。

図2　ウイルス部分を暗号化しパターンマッチを回避するポリモーフィック

　メタモーフィック――機能はそのままに、変身

　メタモーフィック（Metamorphic）とは、「変形の、変態の、変成の」という意味を持つ言葉で生物学、地学などでも用いられる言葉である。ポリモーフィックと大きく異なるところは、ポリモーフィックが自身の一部に暗号化という部分的な変化を加えるのに対し、メタモーフィックでは、自分自身全体に変化を加えるという手法を取る。

図3　無意味なコードの挿入や順序変更、コード自体を書き換えることでパターンマッチを回避するメタモーフィック

1/4

Index
プレイバックPart.II：シフトした脅威の中で
	Page1 コンピュータウイルスの進化、そして道具へ ポリモーフィック――暗号化でパターンマッチを回避 メタモーフィック――機能はそのままに、変身
	Page2 パッキング――実行可能なまま圧縮 シーケンシャル攻撃――続けて攻撃することの意味 ウイルスの歴史に見る、目的と手段のシフト ボットによる被害の増大
	Page3 目的のシフトによる変化――「見えない化」 ルートキットと標的型攻撃
	Page4 脅威の潜む場所、それは

セキュリティ対策の「ある視点」 連載インデックス

＠ITメールマガジン　新着情報やスタッフのコラムがメールで届きます（無料）

RSSフィード