マルウェア解析の目的は場面に応じて様々ですが、目的の一つはマルウェア対策に有用な情報を得ることです。マルウェア対策の基本的な方法には、ファイルを検査してそのファイルがマルウェアかどうかを判別する手法があります。マルウェアと同じコード（バイナリ列）が検索対象ファイル内に存在するかを調べるパターンマッチング、そしてこの仕組みを応用して検出可能な範囲を拡大したヒューリスティック的な検索手法です。ファイルを検査するこれらの手法は、マスメーリングワームのように飛んでくる流れ弾をブロックするには高い効果を発揮しました。しかし現在の攻撃者は、事前に自身が作成したマルウェアの検出状況を確認し、検出されない状態のファイルを用意してから攻撃を開始することがあります。そこで登場してきたのが、色々な検出技術を多層的に組み合わせて総合的な防御力を高めようという考え方です。コンピュータ内で行われる不正と思われる振る舞い（自身を自動起動するよう設定するなど）の検知や、マルウェアが行う通信の検知など、層が増えれば増えるほどそのすべてを突破するのは困難になり、いずれかの検出技術で検出できる可能性が高まります。一つの絶対的な検出手法があればシンプルで分かりやすいのですが、そのような方法がない現状では採りえる最善の方法と言えるでしょう。しかし、防御する側が新たな対策を講じれば攻撃者はその対策手法を分析して対策の網をかいくぐろうとします。結果として攻撃手法はさらに巧妙さを増していくのです。前置きが長くなりましたが、今回ご紹介するのはそのような巧妙さを増したマルウェアの一例です。

脅威分析のために、攻撃全体を見通す「鳥の目」や過去からの流れを見極め行く末を予測する「魚の目」が重要なことはもはや強調するまでもありませんが、目の前の実体である攻撃コードが何を行うのかを正確に解析する「虫の目」は、脅威の適切な把握とその後の分析の基になる情報としてやはりその重要性に変わりはありません。リバースエンジニアリング手法を用いたマルウェア動作解析は、比較的他の人からも理解されやすい「鳥の目」や「魚の目」による分析とは違って、リバースエンジニア（リバースエンジニアリング手法を駆使して解析するエンジニア）だからこそ見えるものという意味でマルウェア解析の醍醐味と言えます。今回は原点に立ち返り、そんなマルウェア解析者の虫の目でどんなことが見えているのかを、最近解析した一つのマルウェアサンプルを通してご紹介します。

先月より開始した「インターネット脅威レポート」の解説。10月のトピックからいくつかご紹介するとともに、10月下旬より確認されている新たな Adobe の脆弱性に関しても注意喚起致します。

　今年3度目となるジャストシステムのワープロソフト「一太郎」を標的としたゼロデイ攻撃を確認しました。リージョナルトレンドラボでは、2010年9月13日以降、2種類の不正な一太郎ファイル（拡張子JTD）を入手。この2つの不正ファイルは、一太郎に存在する前回および前々回と異なるゼロデイ脆弱性を利用して、感染コンピュータ上でファイルを作成し実行することが判明しました。 　ジャストシステムから修正プログラム公開完了の報告を受け、ここにこの事例に関する詳細情報を公開致します。

　トレンドマイクロでは、「PlayOnline（プレイオンライン）」の管理者（Game Master、ゲームマスター）を装い偽サイト（フィッシングサイト）へ誘導する攻撃を確認しました。ここにその詳細について紹介します。 　PlayOnlineは、「スクウェア・エニックス（SQUARE ENIX CO., LTD.）」が提供するネットワークサービスです。今回確認された脅威は、同サービスにおいて提供されているゲーム「ファイナルファンタジーXI」のユーザを狙ったものでした。 　「ファイナルファンタジーXI」では、ゲーム内でメッセージをやり取りできるチャット機能で、「Tell」と呼ばれるコマンドが提供されています。今回、悪意ある攻撃者はこのコマンドを悪用し、管理者（Game Master）になりすました上で、次のようなメッセージを送り、ユーザを偽サイトへと誘導する活動が確認されています。 8周年お祝いかつどうはひらき、 www.ffxi＜省略＞.com で贈り物の包みを受け取ってください ご当選おめでとうございます。あなたはＦＦＸＩ抽選イベントで当選されました www.ffxi＜省略＞.com にご登録し、商品を受け取ってください。 　メッセージは不自然な日本語であることから、違和感を覚える可能性もあります。

　JPCERT コーディネーションセンターは6月1日、「社内 PC のマルウエア感染調査を騙るマルウエア添付メールに関する注意喚起」を発表しました。 　今回はこのインシデントにおける添付ファイル「Virus Check.zip」に注目し、その脅威について報告いたします。 図1. メールに添付されていたファイル「Virus Check.zip」

　フィッシング対策協議会は5月20日、「Carview（カービュー）」を騙って偽サイトに誘導しようとするフィッシングメールを確認したとして注意喚起を発表しています。 　報告によれば、攻撃はフィッシングメールを端に発するもので、巧みなうたい文句でフィッシングサイトへ誘導しようと試みています。 図1. 「Carview（カービュー）」に見せかけた偽サイト。ユーザ名やパスワードを入力させようとする。

　2010年4月23日 夕刻頃（日本時間）より、正規Webサイトを改ざんし、不正なプログラムが自動でダウンロードされるようにする「Webからの攻撃」に分類される脅威が相次いで確認されています。今回は、その中から一例をとりあげ、現在の脅威動向について分析してみます。 　我々の不正サイトクローリングシステムによれば、4月23日に「gr＜省略＞ad.com」が「This URL is currently listed as malicious.」（不正サイト）として評価が行われていることを確認しています。

　普段インターネットを使わない人々が、一斉にインターネットを使う事が多くなると予想されるのが、年末年始です。年末年始というのは、多くの人に精神的、時間的な余裕が生まれる特殊な期間ともいえます。

　リージョナルトレンドラボでは4月13日に、三菱UFJニコス株式会社及びUFJカードグループが発行するUFJカード（UFJ Card）を騙る日本語のWebサイトが開設されていること、同サイトへ誘導する英語のスパムメールの流通を確認しており、14日午前時点も未閉鎖/稼働中であることを警告するとともに、注意喚起いたします。 図1 UFJカードを騙るフィッシングサイト（偽サイト）