マルウエア対策ソフトやUTM▼および次世代ファイアウオールといったマルウエア対策装置を導入していても、マルウエアに感染してしまうことがある(図1)。これらのソフトや装置にはマルウエア検知機能が備わっているものの、その機能がマルウエアを見逃すとコンピューターはマルウエアに感染してしまう。
どうしてマルウエアを見逃すのか。その理由を知るために、マルウエアの検知方法と、検知を逃れようとするマルウエアの回避テクニックを見ていこう。
シグネチャーで検知する
マルウエア検知機能が、マルウエアを検知する方法は複数ある。その中で最もメジャーな方法が「シグネチャー検知」である。
シグネチャー検知は、既知のマルウエアの特徴を記録した「シグネチャー▼」という情報を使って検知する方法である。シグネチャーに記録した特徴とマルウエアは1対1で対応する▼(図2)。
次に、既知のマルウエアのファイルからシグネチャーを作成する方法を具体的に解説する。
マルウエアのファイルをバイナリーエディター▼で開くと、データが16進数形式とASCII形式で表示される(図3)。16進数形式の表示では、行と列でデータの番地を示す。