■講演要旨       PDF版 ■ かつては・・・ ■ 今では・・・ ■ 脅威の変化！？　〜マルウェアの複雑化〜 ■ いまと昔の検出ポリシーの違い(パターン強化編) ■ ウイルス検出技術（パターン強化編） ■ さいごに ■プレゼンテーション資料

トレンドマイクロ(株) 平原 伸昭

アブストラクト

2004年以降、インターネット上の脅威は従来のウイルス、ワームだけでなく、ボットネットやターゲット型攻撃に代表されるように、その脅威を見えなくさせる見えない化(不可視化)が進んでいます。今年はさらにWORM_STRATIONに代表される連続攻撃化、Web Threatsと呼ばれる新たな脅威が加わり脅威の複雑化という状況にあります。 　本報告では、不可視化、連続攻撃型の新しい脅威などの最新動向を交え、トレンドマイクロのウイルス検出技術向上への取組みの中から「検出ポリシーの今と昔」、「検出技術」および「駆除技術」について、ご説明させていただきます。

キーワード

トレンドマイクロ、マルウェア、セキュリティ脅威、ボットネット

　かつては、自分の技術を誇示するような愉快犯的な動機でマルウェア*1を作成していたと言えます。作成者としても、パソコンオタクの延長線にいる人物像が特徴的です。また、これまでは単独犯がほとんどで組織だった犯行とは言い難いといえます。

　ボットネットから個人情報などを収集し売買することで、収益を得ていることが大きな特徴になっています。ボットネットとは、ボットと呼ばれるウイルスの一種が構成するネットワークの総称で、数百〜数万台の規模で構成されるネットワークです。
　ボットネットは、通常のウイルスやワームとは異なり、HERDER*2(牧夫)またはMASTERと呼ばれる人間の指示により、DDoS攻撃*3やスパムメールの送信といったさまざまな活動を行います。

〜変化その１〜 世界的な大規模感染の現象
　弊社が出しているレッドアラート、イエローアラートの数は、2004年の32回をピークに減少しています。これは、シグネチャ*4型のウイルス対策以外に大規模感染予防、パーソナルファイアウォール機能といったウイルス対策の複合化の成果とも考えられますが、それ以上にマルウェア作成の目的が感染活動から金銭や情報取得へと変化し、摘発を逃れる目的で感染拡大のコントロール（脅威の見えない化）が進んだためと推察されます。

〜変化その２〜 亜種の増加
　ウイルスの出現数は急激に増加しており、2005年と2006年の同時期（5月1日から14日）を比べてみると2005年のこの時期に追加されたシグネチャは856個でしたが、2006年の同時期に追加されたシグネチャはなんと、2780個と3倍以上の数となっており、一日平均で200弱の新種マルウェアが発見されていることになります。
　弊社サポートセンターにお問合せいただく新たな脅威のひとつである「Web Threats」の温床となっているBOT型ウイルスの被害報告を見ても右肩上がりになっています。

〜変化その３〜 Web Threats
　ワームタイプ、トロイの木馬タイプ、複合タイプなど多種多様になっており、インターネットに接続して、不正プログラムをアップデート/ダウンロードするWeb Threatsは2005年〜2006年にかけてその増加を加速しており、従来のSMTP*5を介して感染を拡大するマスメーリング型と比較すると全世界で約20倍の感染報告件数が集まっています。
　代表的なものには悪意のあるスクリプトが記述されたWebページからのダウンロードやPE_FUJAKCSやPE_LOOKED など他の不正プログラムがMother Virus となり他のTORJ やTSPY をダウンロードする傾向となっており、トレンドマイクロではこの傾向が 2007年度も引き続き続くと予想しています。

〜変化　その４〜 不特定多数への攻撃から特定・限定へ、さらに連続型、Web Threat・・・・
　このように、複雑化する脅威に対応するためには、パターンファイル＋検索エンジンといったOne fit to All のソリューションでは対応できなくなってきています。
　トレンドマイクロは、長年培った「未知の脅威」に対抗していくための技術研究をベースに、シグニチャを必要としないソリューションの開発に着手しております。
　本日はその中のひとつであるパターンの強化について説明させていただきます。

〜昔の検出ポリシー〜
　従来の検出ポリシーでは、実際の検体を入手し、解析した後にパターンファイルへの反映を行っておりました。検出の精度が高い反面、ウイルス感染の疑いのあるファイル（未知の検体）の検出には弱く、これでは、近年の巧妙かつ複雑化したウイルスに対抗するには十分ではありません。

〜現在の検出ポリシー〜
　現在の検出ポリシーでは、ウイルスの特徴を持つ疑わしいファイルには、プロアクティブ*6に検出や「警告」を行うことで、ウイルス感染のリスクを軽減いたします。

現在と昔の検出ポリシーの違い　〜まとめ〜
　昔の検出ポリシー
　　既知のウイルスを中心とした対応
　　疑わしいファイルの対応はコンサバティブ*7
　　新種・亜種への対応がリアクティブ*8
　昔の検出ポリシー
　　既知のウイルスと未知のウイルスに対応
　　疑わしいファイルは、「警告」もしくは「検出」
　　新種・亜種への対応がプロアクティブ

〜Unpackerパターン〜
　Unpackerパターンは、さまざまな圧縮形式の展開パターンをウイルスパターンファイル内に搭載することで、ウイルス検索エンジン上で圧縮ファイルを展開し、圧縮形式が異なる以外は同一のウイルスを1つのウイルスパターンファイルとして検出する技術になります。
　圧縮形式が違うだけで亜種としてパターンファイルのシグネチャ作成しなくとも既知として検出できる技術になります。

〜Genericパターン Family/variantsポリシー〜
　Genericパターンは亜種それぞれの、共通部分（コード）を抜き出し、パターンに登録しておくことで、ヒューリスティックに亜種への対応を可能にします。
　これによりすでにパターンファイルに登録済みの、Genericパターンにより、共通部分が一致していれば、亜種発生時点ですぐに検出が*9可能になります。

〜 Genericパターン Behavioralポリシー〜

Behavioralポリシーによる新種への対応
SUSPICIOUS_FILE	- 拡張子の偽装チェックを行い、不正プログラムの疑いがある場合には「警告」します。
Possible_Virus	- 2重拡張子と振る舞いのチェックを行い、不正プログラムの疑いがある場合には「警告」します。

〜IntelliTrap機能〜
　IntelliTrap機能は不正プログラムが持つ典型的な特徴の一つである自動実行型の圧縮ファイル形式（パッカー）をウイルスとして検出いたします。
　パッカーにより圧縮されたプログラムは「PAK_GENERIC.001」,「PAK_GENERIC.002」として検出いたします。

　トレンドマイクロでは日本特有の脅威に対応するための、「リージョナルトレンドラボ」を開設し、日本特有のセキュリティ脅威に関する情報収集活動を行い日本のユーザーを迅速にサポートする体制を整えています。
　その一環として、リージョナルトレンドラボ内のThreat Monitoring Center においては、日本国内におけるインターネット上の脅威に対して迅速かつ効果的に対応するため、実際に発生している攻撃の傾向を把握し、その経路上で流通しているマルウェアを収集しています。

以　上

脚注 (文責:SS研事務局)

*1	マルウェア (malware) : 一般に不正プログラム全般を指す。
*2	HERDER : ボットネットを操る攻撃者を指す。herderとは英語で羊飼いのこと。
*3	DDoS攻撃 (Distributed Denial of Service attack) : 攻撃の踏み台になった複数のコンピュータが、標的とされたサーバ等に対して攻撃を行うこと。
*4	シグネチャ : signatureは、攻撃を示すsystemやnetwork activityパターンを反映したもの。IDSやfireWallはこれらのsignatureで危険なパターンを区別することで攻撃を判別する。
*5	SMTP(Simple Mail Transfer Protocol) : サーバ間でのメールのやりとり、クライアントがサーバにメールを送信する際に用いられるプロトコル。
*6	プロアクティブ : 予防型
*7	コンサバティブ : 後ろ向き
*8	リアクティブ : 事後対処型
*9	ヒューリスティック : ウィルスの挙動パターンを推論して検知する手法。