サイバー攻撃から“身を守る”手法、その歴史を知る：サイバー攻撃の今、昔（後）（4/5 ページ）

» 2014年10月21日 18時00分公開

「未知の脅威対策」普及度が低いファイルをどう判断するべきか

　トレンドマイクロにて特定の不正プログラム検体について調査を行った結果、約96%の亜種は、「普及度が低いファイル」であることが分かりました。ということは、それらの不正プログラムは、ごく少数の人たちにしか流通していないということになります。

　多くの人が同じ種類の不正プログラムに感染することにより、その深刻さを測るのが昔の常識でしたが、対象者を特定して攻撃する手法が出現してきている今、まったく逆の状況になっています。最終章では、いかにそういった脅威からIT環境のセキュリティを担保するために、セキュリティベンダーは日々格闘し新しい技術を展開しているかについて紹介します。

“昔”——パターンマッチング、ヒューリスティックルールの“限界”

　昔は、パソコンが不正プログラム感染すると明らかにおかしな症状が表れました。ファイルが消える、特定のWebサイトしか開けない、画面がロックされる、おかしな画面が表示される、ポップアップが出続けて消えないなど、さまざまな感染の症状がありました。その際は、セキュリティベンダーによる対策ができていない場合でも、怪しいファイルを収集するツールを利用した解析依頼を行って、（不正プログラム）パターンや復旧ツールが入手可能でしたし、今も入手できます。現在でもそういった基本的な対応は非常に重要ですが、そのためには、感染やその疑いに気付くことが必要です。

　未知の不正プログラムを見つける手法であるヒューリスティックルールは、さまざまな種類があります。例えば、プログラムの動きをエミュレーションし、不正コードを埋め込む活動が確認された場合、不正プログラムの疑いあり、として検出します。また、複数の既知の不正プログラムの共通点から新たな不正プログラムを発見する技術などがあり、亜種対策ともいえます。

　ヒューリスティックルールを高い精度に保つためにも、多くの不正プログラム検体が必要となります。現在でもこれらの技術によって新たな脅威が発見されていますが、一つの不正プログラムに対し感染端末が非常に少ない状況で、セキュリティベンダーにとっても膨大な数の不正プログラム検体全てを収集することは不可能に近くなりました。

“今”——振る舞い検知とファイル普及度の活用

　では、この状況にどのように対応しているかを解説しましょう。まずは「最低限の検体収集での対策技術」を高めることが挙げられます。

　最近のサイバー攻撃では、対象ごとに亜種を大量作成するため、展開イメージをファイルとして作成せず、メモリ中のみで実行が可能な「パッカー」が利用されることがあります。また、不正サーバーで難読化、暗号化、圧縮（パック処理）といった変異処理を行い、同一の不正プログラムから多数の亜種を作成する「サーバーサイド・ポリモーフィズム」といった手法も利用されています。

　悪質な場合には、ユーザが不正サイトに誘導され、アクセスごとに異なる亜種が作成されることがあります。しかし、不正プログラムの動き、「振る舞い」は一緒のままです。そのため、第一章「ウイルス対策の歴史、それは膨大な亜種との戦い」で述べたような振る舞い検知により、起動した不正プログラムのプロセスを監視し、何に対して、何をし、どう対処するか、といったことをルール化し、通常のアプリケーションでは行われない活動に関して監視、防御することが必要です。