大量な亜種に対応する「Generic検出技術」

では、このように大量化する「亜種」への対策として効果的なソリューションを2つご紹介しよう。まず1つ目は「Generic検出技術」である。

通常、ウイルス対策製品が不正プログラムを発見する際には、不正プログラム固有の情報（ファイル中の特徴）をおさめたデータベースを利用し、そのデータベースの情報と検索対象のファイルを比較することで判別する。この方式はパターンマッチング方式という。

パターンマッチング方式では、実際の不正プログラム（検体という）の解析結果に基づいたデータベースと比較するため、非常に精度の高い検出が行える。しかしその反面、検体を入手していない不正プログラムには対応できない。そのため、各ウイルス対策ベンダーは日夜、不正プログラム検体の収集と、このデータベースの更新・配布に努めている。しかしながら「亜種」が爆発的に増加している現在では、網羅できないケースが発生するのも事実である。

それを解決するのが「Generic検出技術」だ。この「Generic検出技術」では、「亜種」に共通に含まれる情報をパターン化し、その情報により似た「亜種」と思われる複数の不正プログラムを検出することが可能だ。新しい「亜種」であっても、パターン化された共通部分が一致すれば、発生した時点で検出することができる。

また、拡張子が偽装されていないかチェックすることで疑わしいファイルを隔離することも可能だ。

図3：Generic検出の例
（画像をクリックすると別ウィンドウに拡大図を表示します）

IntelliTrap

もう1つのソリューションは、トレンドマイクロ社の独自の技術である「IntelliTrap（インテリトラップ）」だ。

昨今の不正プログラムは、通常の圧縮ツールで本体の実行ファイルを圧縮するだけではなく、「パッカー」というツールを利用するものが多い。「パッカー」で不正プログラム本体を加工すると、圧縮されたファイルをダブルクリックしただけで中身のプログラムまで自動的に実行できる。この「パッカー」の種類を変えるだけで「亜種」を作成できることから、攻撃者の「亜種」の大量作成の手法として定番化している。「パッカー」は、一種の圧縮・暗号化ツールであるため、複数の「パッカー」を組み合わせて不正プログラムを加工することによって、攻撃者は検出をより困難にしているのだ。

このような「パッカー」を用いて作成された不正プログラムを効果的に発見する技術が「IntelliTrap」である。

「IntelliTrap」は、ウイルス固有のシグネチャを登録した通常のパターンファイルを使用しない。ファイルが不正プログラムに使用されやすい「パッカー」の形式に該当する場合に、PAK_GENERIC.xxx（xxxは001からの数字）という検出名で検出する。これは、ファイルの中身を検索するのではなく、使用されている「パッカー」により疑わしいファイルかどうかを判別することによって、パターンファイルに登録する前に検出することが可能なのである。

今回は第2回で説明したインターネット上の攻撃が「Webからの脅威」に変化した現在の特徴的な現象の1つである、「不正プログラムの亜種の大量化」とその背景にある「シーケンシャル攻撃」ついて説明した。最終回となる第4回では「Webからの脅威」のもう1つの大きな傾向ともいうべき「ターゲット攻撃」について解説する。 タイトルへ戻る