全4000文字
PR

 マルウエアの解析手法は、「表層解析」「動的解析」「静的解析」の3つに大きく分けられる。解析の作業負荷や難易度は表層解析が最も低く、静的解析が最も高い(図1)。基本的には、これら3つの解析をすべて実施しないと十分な結果を得ることはできない。

 今回は、これらのうち最も重要な土台になる表層解析に焦点を当て、具体的に解説していこう。

図1●マルウエアを実行せずに調べる「表層解析」
図1●マルウエアを実行せずに調べる「表層解析」
マルウエア解析には「表層解析」「動的解析」「静的解析」という大きく3つの手法があり、この順に従って解析の作業負荷や難易度が高くなる。表層解析は難易度は低いが、解析の方針を決める重要な土台になる。
[画像のクリックで拡大表示]

 表層解析は、マルウエアのファイルの表面的な情報を調べる手法である。動的解析や静的解析と比べると作業負荷や難易度が低く、得られる情報も少ない。だが、決して軽視できない重要な手法である。というのも、動的解析や静的解析の方針を決めるのにとても有用だからだ。

表層解析で当たりを付ける

 動的解析や静的解析は詳細な情報を得られる分、解析には時間がかかる。何の方針もなく動的解析や静的解析を開始すると膨大な時間がかかってしまう。一方で、マルウエア解析は時間との勝負であることが少なくない。被害の拡大を抑えるために、新たに出現したマルウエアを短時間で解析する必要がある。

 そこで、まずは表層解析で当たりを付けるのだ。後述するように、表層解析で攻撃の手口や攻撃者の意図およびレベル、マルウエアの挙動、同一あるいは類似のマルウエアの有無などを調べる。それらを基に「マルウエアのどの部分から調べるのか」「マルウエアの何についてまず調べるのか」といった方針を決めてから動的解析や静的解析を開始する。これにより、解析にかかる時間を大幅に削減できる。

 それでは、表層解析の内容と方法を具体的に見ていこう。

 一口に表層解析と言っても、解析対象の項目は様々である(表1)。これらの項目は、すべてマルウエアのファイルから得られる情報であり、ファイルを実行しなくても得られる。

表1●表層解析で調べる主な項目と概要
いずれの項目もマルウエアのファイルから得られる情報である。マルウエアを実行する必要はない。
表1●表層解析で調べる主な項目と概要
[画像のクリックで拡大表示]