PR

McAfee Avert Labs Blog
Detecting Malware With Vulnerability Scannersより
June 3,2008 Posted by Rodney Andres

 先日ある顧客から,当社のぜい弱性スキャナ「Foundstone」が誤検出を起こしたという報告を受けた。Foundstoneの検査機能はマルウエアを見つけることが目的でなく,ある合法的なリモート監視ツールの存在を検出するために用意されている。報告してくれた顧客は,誤検出の起きたマシンでそのような監視用サーバーなど動かしていないと断言した。ところが送られてきたパケット・データを調べたところ,そのマシンでは間違いなく問題の監視ツールがひそかに動いていた。このツールはよく,マルウエアがバックドアを作る目的で勝手にインストールする。該当マシンは誤検出の報告時点で,間違いなく既に何らかの被害を受けていたのだ。Foundstoneが検査でセキュリティ侵害を見つけていたら,どの程度まで被害の拡大を食い止められただろうか。

 マルウエア検出は,リモートぜい弱性スキャナの主力機能ではないが,主なスキャナは大抵,この機能を備えている。だからと言って,将来的にぜい弱性スキャナがウイルス対策製品の代用になると考えてはいけない。

 ぜい弱性スキャナは検査対象のファイルを開いて内容を読めるものの,ほとんどの場合,データ収集用のエージェント・ソフトは持たない。ファイル・アクセスに使うリモート・プロシジャ・コール(RPC)の使用回数を減らすためである。従来型ウイルス対策製品のシグネチャ・スキャン機能と同等の機能をぜい弱性スキャナで実現しようとしたら,実用にならないほど処理速度が遅くなるだろう。このため,マルウエア検査はマルウエアの存在を調べること,要するに,マルウエアの痕跡を探すことだけ集中せざるを得ない。具体的には,ある種のファイルが存在することを(開いたり読んだりすることなく)確かめるほか,レジストリのキーや動いているサービスを見つけるという処理をする。大抵の場合,これら三つの痕跡のうち二つが見つかれば,マルウエアが存在するという強い証拠とみなせる。

 ぜい弱性スキャナでマルウエアの存在を確認するもう一つの方法は,マルウエアのネットワーク活動を見つけることだ。最近のマルウエアは特定の通信ポートにバックドアを設けてコマンド到着を待つものが多く,ほぼリモート検出が可能だ。この点では,マシン上で機能するウイルス対策製品よりもぜい弱性スキャナの方が優れている。例えば,ルートキットは関連するファイルやレジストリのエントリ,プロセス,サービスなどを隠ぺいし,マシンから存在を消してしまう。ネットワーク活動まで隠す可能性はあるが,あくまでもそのマシンで動いているプログラムから見えなくなるだけだ。ルートキットほど高度化したマルウエアであっても,マシンから離れたリモート環境で機能しているぜい弱性スキャナからネットワーク活動を隠すことはできない。

 最後にまとめよう。ぜい弱性スキャナによるマルウエアの検出は,対症療法に過ぎない。ぜい弱性スキャナのマルウエア検出機能は,マルウエアがマシンに感染した後でその事実を指摘しているだけの話だ。これに対し,ウイルス対策製品はマシンへの感染を未然に防ぐという困難な目標を掲げている。

 こう考えると,ぜい弱性スキャナにはマルウエア検出機能は不要とみなす人もいるだろう。しかし,当記事の冒頭で紹介した,こっそり動いているリモート監視ツールに出会った顧客は,必要性を理解してくれるはずだ。


Copyrights (C) 2008 McAfee, Inc. All rights reserved.
本記事の内容は執筆時点のものであり,含まれている情報やリンクの正確性,完全性,妥当性について保証するものではありません。
◆この記事は,マカフィーの許可を得て,米国のセキュリティ・ラボであるMcAfee Avert Labsの研究員が執筆するブログMcAfee Avert Labs Blogの記事を抜粋して日本語化したものです。オリジナルの記事は,Detecting Malware With Vulnerability Scannersでお読みいただけます。