不正プログラムの「亜種」とは？

「亜種」とは、オリジナルの一部を改造・改変して作り出される新たな不正プログラムのことである。その時々の攻撃目的や手段にあわせて、感染機能や発病行動を追加したり、自分自身を隠す機能や自己増殖機能を付加したりして、オリジナルの不正プログラムよりも凶悪化することもある。逆に、亜種によっては不正プログラムの中に書かれている文字列やメッセージだけを変更したり、使用するレジストリ名を変えたりしただけの簡易なカスタマイズが施されるケースもある。

人間界で例えるなら、インフルエンザウイルスの様に、初めは単一のウイルスであったものが、突然変異したり、人間の抗体をかわすべく変異したり、また人間以外の動物を媒介として新たな種類のウイルスとなったりするように、元の機能は同じでも、変異を繰り返し凶暴化することと似ている。ただしいうまでもないことではあるが、不正プログラム自身もその亜種も、インフルエンザなどとは違い人間が悪意を持って作り出しているものである。また、どのような「亜種」であれ、新たな不正プログラムの作成に比べて、攻撃の「手間が省ける」という攻撃者側の「メリット」があるのだ。

実例を見てみよう。2004年に大流行した「WORM_NETSKY」は、オリジナル不正プログラムの発見から3年以上経っているにも関わらず、未だ亜種の発見が継続して報告されている。2006年末時点で47種だった亜種が、2007年末には4倍以上の217種へ増加しており、旧来の不正プログラムのいわば「再利用」を如実にあらわしているといえる。

亜種の急増は、ウイルス対策製品のパターファイルの新種・亜種のウイルスへの対応数からその様子をうかがい知ることができる。トレンドマイクロのオフィシャルパターンファイルにおける対応数で比較すると、2004年10月は1ヶ月間で計1,409種だった対応数が、2007年10月の1ヶ月間では1,9724種と、3年間で約14倍にまで増加している。

図2：「ストレーション」による攻撃
（画像をクリックすると別ウィンドウに拡大図を表示します）

大量の「亜種」を悪用した「ストレーション」

シーケンシャル攻撃に不正プログラムの「亜種」が多用されたケースとして、2006年8月16日に発見された「ストレーション」の活動を説明したい。

「WORM_STRATION」は、単体ではマスメーリング型ワームに分類できる。メールの添付ファイルとして侵入し、感染するとまた別のユーザにメールを大量配信する旧来のスタイルである。メールには「新しいWindowsのセキュリティホールの発見のお知らせ」などといった件名を使う。いわゆるソーシャルエンジニアリング手法が用いられている。メールにはWindowsのセキュリティパッチ（修正プログラム）に類似した名称のファイルを添付しており、多くのユーザは不用意に添付ファイルを開いてしまったのだ。

「WORM_STRATION」に感染したクライアントPCは、新たな不正プログラムをダウンロードさせられたり、「WORM_STRATION」の「亜種」を含んだ電子メールを他のユーザに送信したりして、感染を広げる。ピーク時には「WORM_STRATION」の亜種は1時間に1種の頻度で認発見され、その増殖スピードはこれまでにないレベルであった。

したがってユーザは最初に感染した「WORM_STRATION」を検出・削除しても、また次の「WORM_STRATION」の亜種が感染し、そして…と感染が継続的に続くことになる。

「WORM_STRATION」の「亜種」の数は、2006年8月16日に発見された後、2006年年末で285種、2007年年末で781種にも及ぶ。大量な「亜種」の存在は、パターンファイルの検出を逃れるためだけではない。それぞれの亜種が個別の機能を持つため、「亜種」の数だけ多様な攻撃が行われていることも付け加えておきたい。 次のページ