シマンテックは、2005年のセキュリティ脅威に関する説明会を開催した。登壇者は、同社セキュリティ・レスポンスのシニアマネージャー、Kevin Hogan氏。同氏は「2005年のマルウェアの現状」と題し、BotやAntinnyの脅威について説明。また、今後留意すべき脅威として、携帯電話や携帯ゲーム機などを対象とするマルウェアについて語った。

マルウェアの種類 - 「ワーム」「ウイルス」「トロイの木馬」

説明会はマルウェアに限定して話が進められた。初めに同氏は、シマンテックではマルウェアを大きく「ワーム」「ウイルス」「トロイの木馬(トロイ)」の3種類に分類していると語り、それぞれについて解説した。ワームはプログラム自体が自身を複製し、(多くの場合)ネットワークを通じて別のホストに感染するもので、ウイルスは同じホスト(PC)上で繁殖するマルウェアである、と説明。トロイは「最も定義が曖昧」(同氏)なマルウェアで、ベンダによってはスパイウェア/アドウェアなどと定義/対応されることもあるという。トロイについて同氏は、「一番重要なポイントは、トロイの侵入にユーザーが気付かないこと、そしてPCに与える影響が(システムを破壊したり情報を盗んだりするなど)明らかに悪いこと」と述べた。また、トロイ自身は繁殖しないので、特定のプログラムを詐称するなどしてユーザー自身が導入するものであると定義した。

続いて2005年の攻撃傾向に関する説明が行われ、Windowsの32bit環境(W32)を対象とするマルウェアの増加傾向が指摘された。同氏によると、W32マルウェアが初めて登場したのは1997年で、1999年か遅くとも2000年には現在のような増加の傾向が見られるようになったという。同氏は、コンピュータユーザの多くがWindows環境を使用していることから「(増加傾向そのものは)驚くべきことではない」としながらも、来年も同じ傾向が続くとの見解を示した。

増加するワームの亜種 - 何故、亜種は増え続けるのか?

続いて同氏は、ワームのファミリー(オリジナルのワーム)と亜種(オリジナルを改変したワーム)の関係について説明。亜種増加の原因は改変の容易さにあるとして、パッキング(圧縮)を一例として取り上げた。同氏によると、パッキングは「ZIP形式やRAR形式に圧縮するのとあまり変わらない感覚で、プログラムのコードを圧縮すること」(同氏)だという。パッキングすることによって、プログラムの外見を変えることが可能となるため、このような方法が取られるのだという。同氏によると、実際にパッキングされたマルウェアを実行した場合、パッキングされていないものと同じように動作するが、アンチウイルスソフトから見た挙動がそれぞれで異なるという。同氏は、アンチウイルスソフトはパッキングをサポートしているため、簡単にマルウェアの実行を許すものではないとしながらも、パッキングの手法が日々進化していることから、完全な対応は難しいと語った。

続けて同氏は亜種増加の原因として、「正式な言い方ではないが、ある意味ではオープンソースとも言えるマルウェア」(同氏)が作成されていることを指摘。ソースコードの共有自体は以前からクローズドなBBSなどで行われていたが、現在は検索エンジンで検索すると、簡単にソースコードを入手することができるという。また、同氏は「(提供されるのは)ソースコードだけでなく、(マルウェアの改変を手助けする)テクニカルサポートまで含まれている」とも報告。Gaobotの例では、ソースコードに丁寧なコメントが挿入されているほか、Microsoft C++プロジェクトファイル、readmeファイル、実際にGaobotをテストした環境、To Doリスト、(悪意を持ってこのプログラムを使用しないでくださいなどと記載された)免責事項、GNU GPL(GNU General Public License)の表記などが含まれていたこともあったという。また、Gaobotが出回り始めた初期の頃には、Gaobotのプライベートバージョン作成の勧誘メッセージが入った例もあったとのこと。「私の立場から言うのもなんだが……(マルウェアの品質は)非常にプロフェッショナルな仕上がりだ」と、同氏は複雑な心境を示した。