トレンドマイクロでは2011年1月の「インターネット脅威マンスリーレポート」を公開しました。今回からは新たな試みとしてトレンドマイクロのクラウド型セキュリティ基盤である「Trend Micro Smart Protection Network」にフィードバックされた統計データを基にしています。 ここで使われるのが「ウイルスバスター2011 クラウド」などのトレンドマイクロ製品に搭載されている “スマートフィードバック” と呼ばれる機能です。 |
(さらに…) 続きを読む
トレンドマイクロでは2011年1月の「インターネット脅威マンスリーレポート」を公開しました。今回からは新たな試みとしてトレンドマイクロのクラウド型セキュリティ基盤である「Trend Micro Smart Protection Network」にフィードバックされた統計データを基にしています。 ここで使われるのが「ウイルスバスター2011 クラウド」などのトレンドマイクロ製品に搭載されている “スマートフィードバック” と呼ばれる機能です。 |
マルウェアにとっての天敵は何と言ってもウイルス対策ソフトでしょう。そのため、マルウェアがウイルス対策ソフトを無効化するための機能を備えていることは珍しくありません。ウイルス対策ソフトが検出対応するよりも前にコンピュータの中に入り込むことに成功しさえすれば、あとはマルウェアがウイルス対策ソフトの機能を阻害することで、そのマルウェアの検出を防ぐことができてしまいます。これによってマルウェアの延命が図られるわけです。このような機能は「アンチ・アンチウイルスソフト」と呼ばれています。もちろん、ウイルス対策ソフト側もこのような状況を黙って見過ごしているわけではありません。「アンチ・アンチウイルスソフト」機能を分析し、不正動作の監視など「アンチ・アンチ・アンチウイルスソフト」とも呼べる機能を搭載して「アンチ・アンチウイルスソフト」機能と戦っています。しかし、結果としての「いたちごっこ」状態の中、使われる手法は巧妙さを増していっています。先日解析を終えたマルウェア「BKDR_SRAOW.A」も、巧妙な「アンチ・アンチウイルスソフト」機能を備えたマルウェアでした。 |
情報収集を目的とする不正プログラムは、このシリーズ第1回「注目すべき不正プログラム『Top10』」の上位にランク付けされているように、2010年に深刻な脅威を与えた不正プログラムの1つとなっています。そしてこの不正プログラムによる脅威は、2011年も続くことが予想されますが、トレンドマイクロはこの脅威に関する3つの大きな変化を2010年に確認しました。 |
脆弱性情報データベース「Common Vulnerabilities and Exposures(CVE)」への登録件数からすると、2010年に確認されたソフトウェアの脆弱性は減少したようです。しかし、数が減った一方で、現代のプログラム構造の複雑さを考慮すると何らかの欠陥が生じる可能性は否めず、脆弱性が完全になくなることはないと予測されます。サイバー犯罪者はこのような状況をうまく利用し、脆弱性の存在するコンピュータに不正プログラムを侵入させるのです。 |
トレンドマイクロは、2011年1月6日、『インターネット脅威年間レポート 2010年度(最終版)』を公開しました。一方、「TrendLabs(トレンドラボ)」が提供する英語ブログ「TrendLabs MALWARE BLOG」にて、グローバルにおける脅威状況の年間レポート(英語情報)が公開されています。
今回から4回にわたって、上記記事をもとに 2010年のグローバルにおける脅威トピックをご紹介していきます。
続きを読む
マルウェア解析の目的は場面に応じて様々ですが、目的の一つはマルウェア対策に有用な情報を得ることです。マルウェア対策の基本的な方法には、ファイルを検査してそのファイルがマルウェアかどうかを判別する手法があります。マルウェアと同じコード(バイナリ列)が検索対象ファイル内に存在するかを調べるパターンマッチング、そしてこの仕組みを応用して検出可能な範囲を拡大したヒューリスティック的な検索手法です。ファイルを検査するこれらの手法は、マスメーリングワームのように飛んでくる流れ弾をブロックするには高い効果を発揮しました。しかし現在の攻撃者は、事前に自身が作成したマルウェアの検出状況を確認し、検出されない状態のファイルを用意してから攻撃を開始することがあります。そこで登場してきたのが、色々な検出技術を多層的に組み合わせて総合的な防御力を高めようという考え方です。コンピュータ内で行われる不正と思われる振る舞い(自身を自動起動するよう設定するなど)の検知や、マルウェアが行う通信の検知など、層が増えれば増えるほどそのすべてを突破するのは困難になり、いずれかの検出技術で検出できる可能性が高まります。一つの絶対的な検出手法があればシンプルで分かりやすいのですが、そのような方法がない現状では採りえる最善の方法と言えるでしょう。しかし、防御する側が新たな対策を講じれば攻撃者はその対策手法を分析して対策の網をかいくぐろうとします。結果として攻撃手法はさらに巧妙さを増していくのです。前置きが長くなりましたが、今回ご紹介するのはそのような巧妙さを増したマルウェアの一例です。 |