全3352文字

 情報の窃取を目的としたマルウエアの多くはパソコンに感染すると、ユーザーによる操作を監視したり重要なファイルなどを探したりする。そして所望の操作やファイルを確認したらそれらを記録して攻撃者に送信する。オンラインバンキングの資格情報を盗み出すバンキングトロジャンが代表例である。

 こういったマルウエアにとって重要なのは、できるだけ長期間感染し続けることである。そのためにはメモリーに常駐し続けるだけでは不十分である。パソコンをシャットダウンされたら消えてしまうからだ。パソコンをシャットダウンあるいは再起動されても感染し続けるための仕組みが必要となる。

 具体的には感染パソコンの設定を変更して、次回起動時にマルウエアが自動的に起動されるようにする。そのような仕組みは「永続性メカニズム」と呼ばれる。英語ではPersistentと呼ぶことが多い。また、自動起動されるように設定を変更することは「永続化」という(図1)。

図1●パソコンを再起動しても感染し続けるマルウエア
図1●パソコンを再起動しても感染し続けるマルウエア
感染したパソコンを監視して情報を窃取しようとするマルウエアの多くは、パソコンを再起動されても感染し続けるための仕組みを備える。具体的にはマルウエアが自動的に起動されるように設定を変更する。この設定変更は永続化などと呼ばれる。
[画像のクリックで拡大表示]

 永続性メカニズムを知ることはマルウエア対策として不可欠。そこで今回は永続化の代表的な手口を解説する。

永続化するランサムウエアも

 現在は多くのマルウエアが永続性メカニズムを備えているが例外もある。その1つがランサムウエアである。ランサムウエアの目的は感染パソコンに保存されたファイルの暗号化である。感染時に暗号化してしまえば目的は果たせるので、パソコンの次回起動時に復活できなくても支障はない。実際、一般的なランサムウエアの多くは永続化メカニズムを備えていない。

 ただし、暗号化だけではなく感染拡大も目的とするランサムウエアの一部は永続化メカニズムを備える。例えばネットワーク経由で感染を広げるワームの性質を持つランサムウエアはできるだけ長い間感染パソコンに潜んでいたい。

 パソコンに接続された外部デバイスやファイルサーバーなどに感染を広げるランサムウエアも同様である。接続される外部デバイスなどを常時監視する必要がある。