敵を知り、防御法を知れば、危うからず! ウイルスワームの近年、「MSBlaster」や「Sasser」などに代表されるコンピュータウイルスによる被害が拡大している。本連載では、まずそれらのウイルスの特徴や動作を分析し、各ウイルスの特徴に合わせた防御法について解説していく。今回は、現在実現されているステルス型ウイルス／ワームおよび未知のウイルス／ワームを検知する仕組みについて解説する。第5回ステルス型および未知のウイルス／ワーム検知の仕組み一般的なアンチウイルスソフトのパターンマッチング法の仕組み現在、主流となっているアンチウイルスソフトのウイル逃れる機能を持ったウイルス／ワームが存在する。これらには、パターンマッチング法では対処できない。このステルス型ウイルス／ワームは、「ポリモーフィック型」と「メタモーフィック型」に分けられる。ス／ワーム検知方式では、「ウイルス定義ファイル」を使用ポリモーフィック型は「ミューテーション型」とも呼ばし、このファイルとスキャンデータとの間でパターンマッれ、感染するたびにランダムな暗号化鍵を使用して自分チングを行うことによって検知する。ウイルス定義ファイ自身を暗号化する。異なる鍵を使用して暗号化することルには、既知のウイルス／ワームのデータの一部や、ワーで、プログラムファイルのパターンを毎回変更するため、ムプログラムの名称などの特徴が記述されている。パターンマッチング法では検知することができない。この方式では、アンチウイルスソフトが、OSのメモリメタモーフィック型は、プログラムの中に実行してもやディスクへのアクセスを監視し、新しいファイルがメ意味のない命令を挿入したり、同じ動作をする別の命令モリ上へロードされたり、ディスクへ書き込まれたりしに置き換えたり、命令の順番を変更したりして、プログた場合に、その内容とウイルス定義ファイルの内容を比ラムのパターンを変更してしまう。したがって、動作結較する（図1）。そして、ウイルス定義ファイルに含まれて果は同じであるにもかかわらず、プログラムとしては別いる特徴と一致した場合に、ウイルスやワームに感染しのものとして認識されるため、パターンマッチング法でていると判断する。は検知することができない。パターンマッチング法ではウイルス検知に限界がある ■未知ウイルス／ワーム新種や亜種のウイルス／しかしながら、ウイルスやワームの中には、従来のパワームが出現ターンマッチング法では検知できないものも存在する。した場合は、そういったウイルス／ワームの種類として、次のものが既出の種類のあげられる。ものと特徴がウイルス5 酷似していなウイルス6 ■ステルス型ウイルス／ワームいかぎり、そ「ステルス型」と呼ばれる、自分自身を暗号化したり改れらのパター変したりすることで、アンチウイルスソフトの検知からンがウイルス 140 NETWORKWORLD Jan 2005 ウイルス1 比較ウイルス2 インターネットウイルス3 MSBlaster ウイルス4 Sasser 一致検査対象ファイルウイルス定義ファイル図1● パターンマッチング法では、ウイルス定義ファイルの内容と検査対象ファイルの内容を比較し、既知のウイルス／ワームを検知するウイルスワームの定義ファイルに存在しないため、パターンマッチング法変更されるデータファイルなどの場合には、修正が入るでは検知することができない。たびにハッシュやデジタル署名を作成し直す必要があり、手間がかかるという問題がある。そこで、パターンマッチング法では検知することができないステルス型ウイルス／ワームや、未知のウイルス／ワームを検知するために、次のような検知方法が実用化されている。ウイルス／ワームらしい動きを監視ビヘイビアブロッキング法ビヘイビアブロッキング法は、システム上で動作して ●インテグリティチェック法いるプロセスの動きを監視し、「ウイルスやワームらしい ●ビヘイビアブロッキング法ふるまい」をした場合に、それをウイルス／ワームとして ●スタティックヒューリスティック法検知する方式である。具体的には、動作中のプロセスが ●ダイナミックヒューリスティック法発行するシステムコールなどを監視して、レジストリの ●ネットワークビヘイビア法内容の変更やディスクへの書き込みなどの動作を総合的 ●プロトコルアノマリ法にチェックし、それらの動作とあらかじめ定義された「ウイルスやワームらしいふるまい」を比較して、疑わしいも以降では、上記のそれぞれの方法について詳しく解説する。のがあればウイルスやワームとして検知する。この方式では、ステルス型や未知のものを含めてウイルス／ワームを検知することが可能であるが、ウイルス／ワファイルの内容の変化を察知インテグリティチェック法ファイルがウイルスに感染した場合は、ファイルの内ームと類似した動きをする正常なプログラムを誤検知してしまうという問題がある。このため、ユーザーに対して「疑わしいプログラム」としか通知できない場合が多く、ユーザーは、それがウイルスやワームであったとしても、正容に変化が生じる。インテグリティチェック法は、その常なプログラムを誤検知したものだろうと判断し、結局、変化をとらえることでウイルスの感染を検知する。そのプログラムの実行を許可してしまう可能性がある。具体的には、図2のように、ウイルスに感染していない状態のファイルのハッシュやデジタル署名などをあらか大量の誤検知がある場合には、検知機能自身をストップさせてしまうユーザーも出てくるだろう。じめ作成し、安全な別のフォルダに保管しておく。そしまた、この方式では、ウイルス／ワームプログラムをて、該当するファイルを使用する際に、現在のファイル実行しないと検知することができないという弱点がある。から作成したハッシュ／デジタル署名と、保管されていつまり、この方式によってウイルスやワームの動作を検るハッシュ／デジタル署名を比較することで、ファイル知したとしても、それ以前に何らかの処理がすでに行わの内容に変更がないかどうかをチェックする。もし、フ検査対象ファイルハッシュ／デジタル署名ァイルの内容に変更があった場合は、ウイルスに感染した可能性があると判断する。この手法は、ウイルスのパターンを基に検知を行うものではないため、未知のウイルス／ワームやステルス型のウイルス／ワームを検知することが可能である。また、ハッシュやデジタル署名は、ファイルに対してだけでなく、フォルダ内のファイルのリストについても作成することができるため、知らない間にインストールされたワ（1）ウイルス感染前にハッシュまたはデジタル署名を作成オリジナルのハッシュ／デジタル署名ウイルスに感染した検査対象ファイル作成したハッシュ／デジタル署名比較して異なればウイルスに感染したと検知ームファイルの存在を検知することも可能だ。しかし、この手法では、ハッシュやデジタル署名を事前に作成する必要があったり、ファイルの内容が頻繁に（2）ファイルを利用する際にハッシュまたはデジタル署名を比較図2● インテグリティチェック法では、オリジナルファイルの内容から変化があったかどうかでウイルス感染を検知する NETWORKWORLD Jan 2005 141 れてしまっている可能性が高く、システムを元の状態に想的に実行させるため、システムのCPUリソースなどが多修復することは難しいと言える。く使用され、処理が重くなってしまうという問題がある。また、ウイルス／ワームの中には、仮想的に実行されバイナリファイルを解析して検知スタティックヒューリスティック法ていることを識別して活動を停止してしまうものも存在し、それらのウイルス／ワームについては検知することができない。さらに、時刻などをチェックして動作を変スタティックヒューリスティック法は、プログラムをえるウイルス／ワームについては、仮想的に実行させた実行せずにバイナリファイルの状態で、マシン語レベルときは活動しなくても、実際に動作させたときには活動のコード解析を行い、ウイルス／ワームらしい動作を検してしまう可能性もあるので注意が必要だ。知するものだ。この方式は、プログラムを実行しないで済むので安全ネットワーク上でワームを検知ネットワークビヘイビア法であるというメリットがある。しかし、プログラムでは、同じ処理を行うのにさまざまな命令セットを使用することが可能であるため、解析した動作と、あらかじめ定義ビヘイビアブロッキング法やスタティックヒューリスされたウイルス／ワームのふるまいとの比較を行うことティック法、ダイナミックヒューリスティック法は、いが難しいという問題がある。ずれもエンドポイントPC上でプログラムの動作を監視すまた、サイズの大きなプログラムの場合は、すべてのるものである。これに対して、ネットワークビヘイビアコードを解析すると多くの時間を要するので、ウイルス法は、プログラムの動作ではなくネットワーク上のトラが寄生していそうな個所を想定して解析するといったくフィックの流れを監視して、ワームの疑いがあるものをふうが必要となる。さらに、暗号化されているポリモー検知する（図3）。フィック型の場合は、コードの内容を解析することがで例えば、ワームに共通した動作として代表的なものに、セキュリティホール悪用型ワームが感染先探索のために行きないため、対応できないといった問題がある。うポートスキャンがあげられる。通常は、短時間に多くの仮想的にプログラムを実行して検知ダイナミックヒューリスティック法 IPアドレスに対してアクセスを行うことはないので、そのようなポートスキャンの行為をワームの活動であると判断することができる。実際の製品を例に取ると、フォアスカダイナミックヒューリスティック法は、プログラムをウト・テクノロジーズの「WormScout」は、存在しないホス仮想的に実行させてそのふるまいを確認し、ウイルスやトや使用されていないポートに対してアクセスを行うものワームを検知する。この方式では、スタティックヒューをワームであると判断して検知する仕組みを持っている。リスティック法とは異なり、ウイルスプログラムを実行させるので、ポリモーフィック型のようにプログラムがプロトコル仕様の違反を監視プロトコルアノマリ法暗号化されていても問題なく検知できる。この方法では、あくまで仮想的にプログラムを実行させるので、ビヘイビアブロッキング法のように、実際のリソプロトコルアノマリ法は、ネットワーク上のパケットースに被害を与えることはない。ただし、プログラムを仮を監視し、プロトコルの仕様に違反しているアクセスを検知システムワームの動作ルール検知システムワーム特有の動作をしていないかをチェックワーム感染端末プロトコル仕様に適合しているかどうかをチェックプロトコル仕様ワーム感染端末 DMZ ネットワーク上のパケットの流れ図3● ネットワークビヘイビア法は、ネットワーク上に流れるパケットの内容を解析し、ワーム特有の動作を検知する 142 NETWORKWORLD Jan 2005 ネットワーク上のパケットの流れ図4● プロトコルアノマリ法は、ネットワーク上に流れるパケットの内容を解析し、プロトコルの仕様に違反している不正なアクセスを検知するウイルスワームの検知する（図4）。これにより、バッファオーバーフローなどのセキュリティホールを悪用して侵入するタイプのワームの攻撃を検知し、遮断することが可能となる。アンチウイルスソフトでもヒューリスティック技術を実装多くのアンチウイルスソフトでは、すでにヒューリスティック技術が実装されている。例えば、シマンテックは「Bloodhound技術」と呼ばれる画面1● Norton AntiVirus 2004のBloodhoundウイルス検出技術の設定画面ヒューリスティック技術を開発し、同社のアンチウイルスソフトである「Norton AntiVirus」「Symantec AntiVirus」などに搭載している。画面1は、「Norton AntiVirus 2004」のオプション設定画面である。ここで、「Bloodhoundウイルス検出技術を有効にする」がチェックされていれば、ヒューリスティック技術が有効になっている。検出のレベルもここで変更することが可能だ。このBloodhound技術によって検出された場合は、「Bloodhound.***」という検出名のアラームが生成される。「マカフィー・ウイルススキャン2004」でもオプション画面2● McAfee VirusScan 2004のヒューリスティックスキャンの設定画面設定で画面2のようになっていれば、ヒューリスティックもし、ヒューリスティック法により新種のウイルス／スキャンが有効になっている。このヒューリスティックワームが検知された場合は、まず、ウイルス定義ファイスキャンによって検出された場合は「New Worm」やルを最新のものにアップデートし、パターンマッチング「New Win32」のような検出名のアラームが生成される。法で検知されるかどうかを試すことをお勧めする。それまた、トレンドマイクロの「ウイルスバスター2004」にが新種のウイルス／ワームであり、最新のウイルス定義も、ファイル感染型ウイルスに対応した「WinTrap機能」、ファイルで対応しているものであれば、これで検知するワームに対応した「WormTrap機能」というヒューリステことができる。一方、検知されない場合は、正規のプロィック技術が実装されている。利用中に「possible_virus」グラムが誤って検知された可能性がある。この場合は、というアラームが発生したら、それはヒューリスティック該当するファイルを使用しているアプリケーションの開技術によって検出されたものである。発元に問い合わせるか、アンチウイルスベンダーに該当するファイルを送信して調査してもらうとよい。もしか未知のウイルス／ワームは慎重に対処する必要があるすると、それが世界で初めて発見される新種のウイルス／ワームである可能性もあるからだ。次回は、最近ウイルスやワームと同様に大きな問題となこれまでに解説した方式によって、ステルス型や、未っているスパイウェアとその対策について解説する。知のウイルス／ワームを検知することができる。しかし未知のものについては、検知されたものが確実にウイル ● 著者より一言 ● NTTデータス／ワームであるという保証はなく、ウイルスやワームと似たふるまいをする正規のプログラムである可能性も馬場達也今回はステルス型ウイルス／ワームについて紹介しましたが、これある。したがって、ユーザーは、検知されたプログラムらに対応した新たな検知法が普及すると、また新たな機能を持ったを削除する前に、それがほんとうにウイルスやワームでウイルス／ワームが出現するのでしょうね。ほんとうにこの世界はあるのかどうかを確認する必要がある。いたちごっこです。 NETWORKWORLD Jan 2005 143