【コラム】

ITセキュリティのアライ出し

3 コンピュータウイルスの過去・現在・未来(2) ウイルスに寄生するウイルス

 

3/47

いよいよ夏の到来を感じる季節であるが、読者諸兄は体調など崩していないだろうか? 筆者は、ニンテンドーDS Liteの入手に成功。「逆転裁判」にハマり、目下、寝不足の身である。さらに今月は名作「ファイナルファンタジーIII」がリメイクして発売されるため、この夏は体調管理を慎重にと熟慮している最中である。

さて、前回は過去に発生してきたウイルスから、いくつかのエピソードを紹介してきた。今回はそれらの過去をふまえ、現在についてふれていきたい。

前回の宿題は、ファイル感染型のウイルスは現在も出現しているのか? ということであった。答えは「YES」。そう、ファイル感染型のウイルスは、本稿執筆時においても、密やかに世界中で感染が発見され続けている。

MSRTの統計情報を別の角度から見る

ここで、ひとつのデータを紹介したい。本コラムの第1回でも紹介した資料である。マイクロソフトは2005年の1月から「悪意のあるソフトウェアの削除ツール(MSRT)」を無償で公開しており、毎月その更新を行ってきた。それから2006年3月までの15カ月間に駆除してきたウイルスの統計情報がリリースされている。

この統計情報がもたらす興味深い点の1つに、駆除した全体数の3位にランクされているPariteというウイルスがある。マイクロソフトによるPariteの分析結果を読む限りでは、これはファイル感染型に分類できる。そして、ファイル感染型は古典的なウイルスのひとつである。

マイクロソフトの「悪意のあるソフトウェアの削除ツール」によって駆除されたウイルスのTop10

トレンドマイクロのウイルスデータベースによると、Pariteは以下4点の特徴をもつという。

  1. システムに自身をインストール
  2. ファイル感染
  3. ウイルス(「PE_PARITE.A-O」)を作成
  4. 他の不正プログラム(「JS_NIMDA.A」)を作成

(2)にあるとおり、Pariteはファイル感染型のウイルスである。この種のウイルスが、MSRTの駆除で第3位の位置を得ているのである。これは、どういうことであろうか?

仮説 - ウイルスに寄生するウイルスとしてのParite

Pariteはファイル感染以外に、目ぼしい特徴がない。(3)のウイルスを作成というのは、ウイルスとしての主体部(感染ロジック等)を切り出して単一のプログラムを作成することであり、(4)は5年前の2001年にパッチが公開されたMS01-020の脆弱性を使うようローカルファイルの改ざんを行うので、(イントラネットにおけるマウントなどの懸念すべき点もあるが)大量の駆除が行われている理由にならない。しいてあげるならば、DLLインジェクションを使っている点であろうが、これも大量検出の手がかりにはならない。

つまり、自己増殖機能が乏しいPariteが大量に検出されるのは不可思議なのである。そして、筆者の勤めるラックで運用しているハニーポットにおいても、大量のPariteを検出している。ネットワークを経由して、脆弱性を利用するようなコードのないPariteが、なぜハニーポットに捕らえられるのか。ひとつの仮説としては「Pariteは他のウイルスに寄生して繁殖している」ということである。

Pariteの検体を集めてみるとわかるが、ほとんど千差万別で、バラバラの傾向をみせる。つまり通常であれば、ある特定のウイルスは単一のサイズ、ファイルハッシュを示すのであるが、Pariteの検体はそうではない。そして、これらの検体には、さまざまなボットや他のウイルスの機能がそのまま取り込まれているのである。これはなぜだろうか?

ここからは筆者の仮説の本筋であるが、あるPCがPariteに感染し、かつ、他のボットなどのウイルスにも感染していた――つまり多重感染していたとする。するとPariteによるファイル感染は、ボットや他のウイルスの本体に対しても発生する。そうしてPariteが寄生したウイルス本体が他のPCに感染した場合、どうなるであろうか? ハニーポットで数多く検出されるPariteは、そうした寄生体であることを明瞭に示していることになるだろう。この点が、筆者の仮説の根拠である。

他のウイルスに(正確には『片利共生』がふさわしいと思うが)寄生することで、その機能をそのまま取り込み、数を増やしていったのである。ボットやワームといったネットワーク経由で脆弱性を利用するタイプの跋扈に乗じ、その数を増やしていったことは非常に興味深いものがある。ただし、Pariteの作者がわからない以上、このような副次的効果を狙っていたかどうかは定かではないが……。

Pariteについてのこの仮説が成り立っているとすれば、前回紹介した捕食関係よりもさらに新たな関係性が生まれていることになる。それも、オールドタイプと認識されているファイル感染型のウイルスによって。そしてこれが事実に迫っているのであれば、ウイルスが新しいウイルスを生むという世界も、そう遠くはないということなのかもしれない。

3/47

インデックス

連載目次
第47回 今年で7回目の開催になる日本的なCTFを見学してみた
第46回 EAF出撃す
第45回 再会、EMET
第44回 世界のカンファレンスの景色から - RECON その6
第43回 世界のカンファレンスの景色から - RECON その5
第42回 世界のカンファレンスの景色から - RECON その4
第41回 世界のカンファレンスの景色から - RECON その3
第40回 世界のカンファレンスの景色から - RECON その2
第39回 世界のカンファレンスの景色から - RECON その1
第38回 Adobe Flash PlayerおよびReaderのゼロディ脆弱性を分析する その2
第37回 Adobe Flash PlayerおよびReaderのゼロディ脆弱性を分析する
第36回 続・EMET - メモリアドレスを攻撃者より先に確保せよ
第35回 久々登場! "アライ出し・再生"の一発目はWindowsセキュリティ
第34回 実在するマルウェアのホスティングサービス - 迷惑メールとマルウェア(3)
第33回 感染先の選り好みをするマルウェア - 迷惑メールとマルウェア(2)
第32回 難読化するマルウェア - 迷惑メールとマルウェア(1)
第31回 ボットネットの観測方法をさらに詳しく分析する(2) - Krakenの狙いとは
第30回 ボットネットの観測方法をさらに詳しく分析する(1) - Obfuscationの実際
第29回 Kraken騒動とボットネット観測方法への賛否両論
第28回 マルウェア作成キットの歴史~過去から現在へ(下) - Pinchが作った量産体制
第27回 マルウェア作成キットの歴史~過去から現在へ(中) - Agobotが現れた!
第26回 マルウェア作成キットの歴史~過去から現在へ(上) - VCLからクルニコワまで
第25回 iPhoneの解析が進行中 - "Black Hat Japan 2007"見聞録
第24回 Vistaのカーネルモードドライバへのコード署名要件にかかる問題のまとめ(2)
第23回 Vistaのカーネルモードドライバへのコード署名要件にかかる問題のまとめ(1)
第22回 Windowsにおけるバッファオーバーフロー(6)
第21回 ウイルス分析合宿中につき…「世界のホシザワにしごかれるの巻」
第20回 Windowsにおけるバッファオーバーフロー(5)
第19回 2006年を振り返る
第18回 Windowsにおけるバッファオーバーフロー(4)
第17回 Windowsにおけるバッファオーバーフロー(3)
第16回 Windowsにおけるバッファオーバーフロー(2)
第15回 Windowsにおけるバッファオーバーフロー(1)
第14回 検索エンジンと情報セキュリティ(2)
第13回 検索エンジンと情報セキュリティ(1)
第12回 PoCの内側 - Heap Spray(2)
第11回 PoCの内側 - Heap Spray(1)
第10回 標的型攻撃に関する一考察(7) - 対策とまとめ
第9回 標的型攻撃に関する一考察(6) - 脆弱性発見手法の進化(後編)
第8回 標的型攻撃に関する一考察(5) - 脆弱性発見手法の進化(中編)
第7回 標的型攻撃に関する一考察(4) - 脆弱性発見手法の進化(前編)
第6回 標的型攻撃に関する一考察(3) - 関連資料から探る脅威の実像(後編)
第5回 標的型攻撃に関する一考察(2) - 関連資料から探る脅威の実像(前編)
第4回 標的型攻撃に関する一考察(1) - 0-day Exploit利用形の頻発
第3回 コンピュータウイルスの過去・現在・未来(2) ウイルスに寄生するウイルス
第2回 コンピュータウイルスの過去・現在・未来(1) ウイルスの捕食-被食関係
第1回 統計から読み取るRootkitとボットの関係

もっと見る



IT製品 "比較/検討" 情報

転職ノウハウ

あなたが本領発揮できる仕事を診断
あなたの仕事適性診断

シゴト性格・弱点が20の質問でサクッと分かる!

「仕事辞めたい……」その理由は?
「仕事辞めたい……」その理由は?

71%の人が仕事を辞めたいと思った経験あり。その理由と対処法は?

3年後の年収どうなる? 年収予報
3年後の年収どうなる? 年収予報

今の年収は適正? 3年後は? あなたの年収をデータに基づき予報します。

激務な職場を辞めたいが、美女が邪魔して辞められない
激務な職場を辞めたいが、美女が邪魔して辞められない

美人上司と可愛い過ぎる後輩に挟まれるエンジニアの悩み

人気記事

一覧

イチオシ記事

新着記事

TVアニメ『食戟のソーマ 弐ノ皿』、第1話のあらすじと先行場面カット公開
[01:54 7/2] ホビー
オリジナルアニメ『終末のイゼッタ』、10月放送開始! PV第二弾を公開
[01:34 7/2] ホビー
『サポルト! 木更津女子サポ応援記』、コミックス第1巻発売記念でPVを公開
[00:40 7/2] ホビー
TVアニメ『アルスラーン戦記 風塵乱舞』、ミニ朗読劇の第四章を公開
[00:06 7/2] ホビー
[なかよし]7月号が3年4カ月ぶり完売 「CCさくら」と付録が人気
[00:00 7/2] ホビー

求人情報