【コラム】
ITセキュリティのアライ出し
3 コンピュータウイルスの過去・現在・未来(2) ウイルスに寄生するウイルス
いよいよ夏の到来を感じる季節であるが、読者諸兄は体調など崩していないだろうか? 筆者は、ニンテンドーDS Liteの入手に成功。「逆転裁判」にハマり、目下、寝不足の身である。さらに今月は名作「ファイナルファンタジーIII」がリメイクして発売されるため、この夏は体調管理を慎重にと熟慮している最中である。
さて、前回は過去に発生してきたウイルスから、いくつかのエピソードを紹介してきた。今回はそれらの過去をふまえ、現在についてふれていきたい。
前回の宿題は、ファイル感染型のウイルスは現在も出現しているのか? ということであった。答えは「YES」。そう、ファイル感染型のウイルスは、本稿執筆時においても、密やかに世界中で感染が発見され続けている。
MSRTの統計情報を別の角度から見る
ここで、ひとつのデータを紹介したい。本コラムの第1回でも紹介した資料である。マイクロソフトは2005年の1月から「悪意のあるソフトウェアの削除ツール(MSRT)」を無償で公開しており、毎月その更新を行ってきた。それから2006年3月までの15カ月間に駆除してきたウイルスの統計情報がリリースされている。
この統計情報がもたらす興味深い点の1つに、駆除した全体数の3位にランクされているPariteというウイルスがある。マイクロソフトによるPariteの分析結果を読む限りでは、これはファイル感染型に分類できる。そして、ファイル感染型は古典的なウイルスのひとつである。
 |
|
マイクロソフトの「悪意のあるソフトウェアの削除ツール」によって駆除されたウイルスのTop10 |
トレンドマイクロのウイルスデータベースによると、Pariteは以下4点の特徴をもつという。
- システムに自身をインストール
- ファイル感染
- ウイルス(「PE_PARITE.A-O」)を作成
- 他の不正プログラム(「JS_NIMDA.A」)を作成
(2)にあるとおり、Pariteはファイル感染型のウイルスである。この種のウイルスが、MSRTの駆除で第3位の位置を得ているのである。これは、どういうことであろうか?
仮説 - ウイルスに寄生するウイルスとしてのParite
Pariteはファイル感染以外に、目ぼしい特徴がない。(3)のウイルスを作成というのは、ウイルスとしての主体部(感染ロジック等)を切り出して単一のプログラムを作成することであり、(4)は5年前の2001年にパッチが公開されたMS01-020の脆弱性を使うようローカルファイルの改ざんを行うので、(イントラネットにおけるマウントなどの懸念すべき点もあるが)大量の駆除が行われている理由にならない。しいてあげるならば、DLLインジェクションを使っている点であろうが、これも大量検出の手がかりにはならない。
つまり、自己増殖機能が乏しいPariteが大量に検出されるのは不可思議なのである。そして、筆者の勤めるラックで運用しているハニーポットにおいても、大量のPariteを検出している。ネットワークを経由して、脆弱性を利用するようなコードのないPariteが、なぜハニーポットに捕らえられるのか。ひとつの仮説としては「Pariteは他のウイルスに寄生して繁殖している」ということである。
Pariteの検体を集めてみるとわかるが、ほとんど千差万別で、バラバラの傾向をみせる。つまり通常であれば、ある特定のウイルスは単一のサイズ、ファイルハッシュを示すのであるが、Pariteの検体はそうではない。そして、これらの検体には、さまざまなボットや他のウイルスの機能がそのまま取り込まれているのである。これはなぜだろうか?
ここからは筆者の仮説の本筋であるが、あるPCがPariteに感染し、かつ、他のボットなどのウイルスにも感染していた――つまり多重感染していたとする。するとPariteによるファイル感染は、ボットや他のウイルスの本体に対しても発生する。そうしてPariteが寄生したウイルス本体が他のPCに感染した場合、どうなるであろうか? ハニーポットで数多く検出されるPariteは、そうした寄生体であることを明瞭に示していることになるだろう。この点が、筆者の仮説の根拠である。
他のウイルスに(正確には『片利共生』がふさわしいと思うが)寄生することで、その機能をそのまま取り込み、数を増やしていったのである。ボットやワームといったネットワーク経由で脆弱性を利用するタイプの跋扈に乗じ、その数を増やしていったことは非常に興味深いものがある。ただし、Pariteの作者がわからない以上、このような副次的効果を狙っていたかどうかは定かではないが……。
Pariteについてのこの仮説が成り立っているとすれば、前回紹介した捕食関係よりもさらに新たな関係性が生まれていることになる。それも、オールドタイプと認識されているファイル感染型のウイルスによって。そしてこれが事実に迫っているのであれば、ウイルスが新しいウイルスを生むという世界も、そう遠くはないということなのかもしれない。
関連記事
| "ボットネット概要"発表 - ISS高橋氏・ラック新井氏がボットを語る [2006/7/20] |
| ワクチンソフトで検出できないボットが増加傾向、巧妙/ステルス化する理由 [2005/10/6] |
| マイクロソフト、「緊急」の脆弱性情報2件を公開、修正パッチを提供開始 [2006/1/11] |
| 東京国際セキュリティ・カンファレンス 2005 - CodeRedからZotobまで [2005/11/18] |
| Antinnyの被害は氷山の一角 - シマンテックがマルウェアの説明会を開催 [2005/11/3] |
| 東京バイツ 第140回 それに感染すると悪意を失うようなワームはないものだろうか [2003/8/21] |
関連サイト
新着記事
| トマトを食べれば痩せられる!? -京大ら、新発見の成分で肥満改善効果を実証 [21:00 2/10] |
| JAXA、液体シリコン中に残存する共有結合を観察 -大口径ウェハの実現に期待 [20:11 2/10] |
| NEDOなど、熱膨張が小さな樹脂複合材料ペレットの量産化に成功 [19:22 2/10] |
| 理研、一般顕微鏡を蛍光顕微鏡に強化できるアダプタを試作して性能を実証 [19:15 2/10] |
| 天の川のブラックホールが小惑星を飲み込んでいる - NASAが発表 [18:08 2/10] |
特設サイトの情報
人気記事
一覧イチオシ記事
新着記事
|
[観月ありさ]濃姫役で戦国時代劇初挑戦 信長役は城田優 SPドラマ「濃姫」 [05:00 2/11] エンタメ |
|
【レポート】秋葉原アイテム巡り - 『幻想水滸伝』シリーズ最新作や『GRAVITY DAZE』が発売! 冬アニメ注目のOP・EDテーマも続々リリース [05:00 2/11] ホビー |
|
激シブ!もう一度ゴルフ Ⅱ の魅力を味わってみませんか?【大阪オートメッセ2012】 [03:06 2/11] キャリア |
|
『ヘタリア』キャラソン、新シリーズが配信決定! [03:05 2/11] キャリア |
|
全国の温泉を擬人化したドラマCD、第1弾「草津」は櫻井孝宏さん! [03:05 2/11] キャリア |
特別企画
マイナビニュースマガジン
-
- 進路情報
- 高校生のための進学情報【マイナビ進学】
- 求人情報
- 学生の就活【マイナビ2013】
- 留学経験者の就活【マイナビ国際派就職】
- 看護学生の就活【マイナビ看護学生】
- 転職【マイナビ転職】
- 転職エージェント【マイナビ転職エージェント】
- 派遣求人【マイナビ派遣】
- アルバイト【マイナビバイト】
- パート【マイナビパート】
- 中国で働きたい方【マイナビチャイナジョブ】
- 法人向け
- 新卒採用支援【採用サポネット】
- 研修サービス
