全2806文字
マルウエア対策ソフトやUTM▼および次世代ファイアウオールといったマルウエア対策装置を導入していても、マルウエアに感染してしまうことがある(図1)。これらのソフトや装置にはマルウエア検知機能が備わっているものの、その機能がマルウエアを見逃すとコンピューターはマルウエアに感染してしまう。
図1●マルウエアを検知できない場合がある
マルウエアを検知する機能を備えたセキュリティー製品を使っていても、検知できずにマルウエアに感染してしまうことがある。
[画像のクリックで拡大表示]
どうしてマルウエアを見逃すのか。その理由を知るために、マルウエアの検知方法と、検知を逃れようとするマルウエアの回避テクニックを見ていこう。
シグネチャーで検知する
マルウエア検知機能が、マルウエアを検知する方法は複数ある。その中で最もメジャーな方法が「シグネチャー検知」である。
シグネチャー検知は、既知のマルウエアの特徴を記録した「シグネチャー▼」という情報を使って検知する方法である。シグネチャーに記録した特徴とマルウエアは1対1で対応する▼(図2)。
図2●シグネチャー検知のイメージ
マルウエアの特徴を記録した「シグネチャー」と照合し、特徴が一致したファイルをマルウエアとして検知する。シグネチャーは現実世界の指紋や人相書きによく例えられる。
[画像のクリックで拡大表示]
次に、既知のマルウエアのファイルからシグネチャーを作成する方法を具体的に解説する。
マルウエアのファイルをバイナリーエディター▼で開くと、データが16進数形式とASCII形式で表示される(図3)。16進数形式の表示では、行と列でデータの番地を示す。
図3●シグネチャーの作り方
マルウエア解析の担当者がマルウエアのファイルの特徴的なデータ(本例では文字列)を探し出す。図で示したファイルでは、「mal.html」と「Konnichiwa」を特徴的なデータだとした場合、シグネチャーでは両方の文字列を番地とセットで指定する。
[画像のクリックで拡大表示]
