インターネット社会のセキュリティ マルウェア対策 −アンチウィルスの仕組み− 蒲田 拓也 抄 録 視方法で,ディスク内のファイルだけではなく,メール 複雑化,高機能化しながら進化している マルウェア の添付ファイルや,閲覧しようとしているウェッブコン (不正プログラム)に対応するために,さまざまな手法で テンツも監視対象とする。 脅威に対応しているマルウェア対策プログラムのメカニ (2) ネットワーク監視 ズムを解説する。 主に「パーソナル・ファイアウォール」と呼ばれる仕 組みで使用され,ネットワークの出入りを監視すること <キーワード> マルウェア対策,セキュリティ,アンチウィルス で,マルウェアの侵入や外部へのパケット送出を阻止す る。 1 Microsoft Windowsの「パーソナル・ファイアウォール」 はじめに に代表される簡易方式のものは,内部から出た要求に対 昨今,攻撃手法の多様化によって,その万能性の神話 する応答パケットは通し,それ以外のものは通さないと は揺らいでいるとはいえ,マルウェア対策としてアンチ いう簡単なルールが設定されている。しかし,この方式 ウィルス(ウイルス対策ソフトウェア)導入は,最も身近 では,内部に侵入したマルウェアが確立した通信をブロ でポピュラーな対策である。 ックすることができないし,一部のVPNのように外部から (1) 『第3回情報セキュリティ調査 』によると,回答の 接続を確立するようなケースでは,利用が難しい。この あった国内987の対象企業や組織のうち,アンチウィルス 問題を解決し,より確実な監視を実現するために「どの を導入している組織は94%で,セキュリティ対策として身 プログラムが」「どのホストと」「どのポートを使って」 近な存在になっていることがわかる。米国の調査でも687 通信しようとしているかを監視する機能を実装している 組織のうち,96%が導入している。 ソフトウェアもある。 また,2007年10月29日にウェブルート・ソフトウェア (2) 株式会社が発表した調査資料 (3) 動作監視 において「IT担当者を置 動作しているプログラムのふるまいを監視し,挙動不 けない中小企業のセキュリティ対策は,ウイルス対策ソ 審なプログラムの動きをブロックする。この監視方法に フトウェアに頼っている」と分析されるほど,コンピュ ついての詳細は,後述するビヘイビア・ブロッキングの ータユーザにとってアンチウィルスの重要性は認知され 項で説明する。 ているといえよう。 この項では,ウイルス対策に留まらず,マルウェア全 般を対策としたソフトウェアになったアンチウィルスが 用いる代表的なメカニズムを,見てみたい (3) 。 3 検出メカニズム 検出メカニズムは,監視対象がマルウェアであるかど うかを判断する仕組みである。実際には,検出精度を向 2 監視メカニズム まず,どの時点で不正なプログラムを発見するかとい 上させるために複数の手法を組み合わせる。 (1) パターンマッチ 最も基本的なマルウェアの発見方法であるとともに, う視点で分類してみよう。 既知のマルウェアに対しては,最も効果がある検知の方 (1) ファイル監視 法である。「シグニチャ・スキャン」と呼ばれることも ファイルが改ざんされていないか,マルウェアと思わ ある。マルウェアの特徴(シグニチャ)を記録した定義デ れるデータやプログラムを含んでいないかを確認する。 ータベースを基に,同じコードの並びをしているファイ アンチウィルスが初期の頃から行っている基本的な監 KAMADA ルを探して検出を行う。 Takuya:ワークショップ・ミュー(北海道夕張郡長沼町東 4 線南 9 番地) 専門学校札幌ビジュアルアーツ(北海道札幌市中央区大通西 9 丁目) - 26 学習情報研究 2008.1 このメカニズムは,検出率が高いという特徴がある反 面,データベースに登録されていないマルウェアを発見 することが不可能であるため,毎日,亜種を含めて100 4 アンチウィルスの問題点と将来 いまや,アンチウィルスはPCユーザのセキュリティ対 種類近いマルウェアが出現する昨今のような状態では, 策としての地位を確立しているが,その一方で,高機能 対策ソフトウェアベンダーが,どれだけ早い時期にマル 化する携帯電話や,家庭内に増加しつつある「情報家電」 ウェアを入手し,解析し,定義データを配布できるかが のセキュリティ対策として,現在PCで使われているアン 勝負になる(4) 。新しいマルウェアが現れた直後や,ゼロ チウィルスを採用するには,改良の余地がある。利用者 (5) デイ・アタック に対しては,効果がない。 が「どの機器がネットワークとつながっているか」「ア また,日々更新される定義データベースの肥大化とい ンチウィルスが,正常に働いているか」「ライセンスは, う問題や,マルウェアが「ステルス」と呼ばれる技術を どうなっているか」などを気にしなくてはならないとい 用いて存在を隠ぺいしようとしている場合は,このメカ う製品は,「家電」とは呼ばれないし,一人が所有する台 ニズムだけでは,発見が困難である。 数がPCとは比べものにならないため煩雑になりすぎる。 (2) ビヘイビア・ブロッキング これに対する解決案の1例としては,外部からリモート 前述の「動作監視」で用いられる検出メカニズムで, メインテナンスする仕組みや,外部にアンチウィルス専 実行しているプログラムのふるまいを監視して,システ 用のセットップボックスを配置する方法(8) 等が検討され ムファイルの変更や置き換え等の不正と思われる動作を たり実装されたりしているが,まだ決め手はない。しか 阻止する。これによって,未知のマルウェアであっても, し,携帯電話や情報家電のマーケットがPCに比べて圧倒 既知の異常動作であればブロックすることができるので, 的に大きいことを考えると,近い将来,大きな進歩が期 パターンマッチングより「時間との競争」は緩和される。 待できる。 ただし,同じ挙動であっても,プロセスによって,脅 威であったり正常動作であったりする(6) ので,正確な判 断が難しい。 アンチウィルスは,PCのみならず,携帯電話や情報家 電等,生活のさまざまなところで必要不可欠な技術であ (3) ハッシュ検証 る。「いたちごっこ」と揶揄されながらも,マルウェア (7) 事前に計算しておいたファイルのハッシュ値 と現在 のハッシュ値を比較することで,ファイルの改ざんが行 が進化し続ける限り,これからも対策の中核を担い続け るであろう。 われていないかを調べる手法である。 比較的高速,かつCPUやメモリに負担をかけずに問題を 発見できるが,当然のことではあるが,ファイルの改ざ んが発生しないケースに対しては無力である。 (4) ヒューリスティック さまざまなマルウェアの特徴を構造,ふるまい等を細 かく分類したデータをもとに,複数の特徴を調べた結果 を総合して,脅威かどうかを判断する手法である。 他の手法に比べて誤認や見落としが発生する可能性が 高いといわれているが,未知のマルウェアであっても発 見できる可能性が高い点で,注目される技術である。 (5) コード検証 ビヘイビア・ブロッキングが,実行中のプログラムの 監視であるのに対して,実行されていない状態のプログ ラムファイルを解析して動きを予測(静的検証)したり, サンドボックスと呼ばれる保護されたメモリ空間の中で 動作させてみる(動的検証)ことで,不正ブログラムを検 出する手法である。 この手法によって,ステルス化されたマルウェアも発 見することが可能になる反面,CPUやメモリに対する負荷 が高いという短所がある。 【参考文献】 1)http://www.uchidak.com/chuo/2006_Japan_CSI.pdf 2) http://www.webroot.com/jp/company/pr_20071029 3)いまや,ウイルス対策だけではなく,マルウェア一般 に対する対策を行っているので,「アンチ・マルウェ ア」と呼ぶべきかもしれないが,本稿では,一般的な 呼び方である「アンチウィルス」という言葉を用いる。 4)パターンファイルの更新遅れによって 1300 台の PC がウイルス感染した病院の事件が,日経コンピュータ 2007 年 11 月 12 日号にレポートされている。 5)脆弱性の存在や,それに対する対策が公表される前に, その脆弱性を利用して行われる攻撃。 6)例えば,一般のアプリケーションがシステムファイル に対する書き込みを行えば問題行動であるが,OS の更 新プログラムが同じことを行った場合は,ほとんどの 場合,正常な動作である。 7)データやプログラムを数値のならびとみなして,それ らの値をハッシュ関数と呼ばれる関数で演算した結果。 8)産業技術総合研究所,『書き換え可能なハードウェア を用いた高速なウイルスチェックシステム』 ( http://www.aist.go.jp/aist_j/press_release/pr2006/ pr20061122/pr20061122.html ) - 27 蒲田拓也:マルウェア対策
© Copyright 2024 Paperzz
