PR

 最後に,UfUpdUi.exeが上書きされた状態のウイルスバスター2009でWORM_ONLINEG.EMXを再度実行する検証を行った。このテストの意図は,セキュリティ製品のアップデート機能を麻痺させるような不正プログラムに感染してしまい,パターンファイルなどを最新の状態にできない環境になった場合に,パターンマッチングに依存しないテクノロジーでどれだけ侵入をブロックできるかを確認するためである。

 WORM_ONLINEG.EMXを検出できないバージョンまでパターンファイルをロールバックし,この状態でWORM_ONLINEG.EMXを実行した。するとまず「不正変更の監視」機能によりWORM_ONLINEG.EMXの動作が検出された(図10)。

図10●「不正変更の監視」機能によって疑わしい動作を検出したポップアップ画面
図10●「不正変更の監視」機能によって疑わしい動作を検出したポップアップ画面

 また,WORM_ONLINEG.EMXは不正なサイトにアクセスして別の不正プログラムをダウンロードする機能を持つが,Webレピュテーション機能により不正なサイト経由の新たな不正プログラムの侵入が防止された(図11図12)。

図11●Webレピュテーション機能により新たな不正プログラムの侵入を防止した際のログ
図12●Webレピュテーション機能を利用した「Trendプロテクト」のWebアクセスブロック画面

 今回の検証で,セキュリティ製品を無効化する不正プログラムの脅威に対抗するためにも,複数のテクノロジーによる防御の必要性を感じた。たとえパターンファイルのアップデート機能が無効化されたとしても,コンピュータへの不正変更を監視する技術によって感染を防ぐことができる。また仮に「不正変更の監視」機能をすり抜けたとしても,Webレピュテーション機能を用いた「Trendプロテクト」よって感染後の二次被害を断ち切ることができるのである。ユーザーとしては,パターンマッチングのほかに複数のテクノロジーを兼ね備えた総合セキュリティ・ソフトウエアを導入することで,感染リスクを低減していくことができるだろう。

平原 伸昭(ひらはら のぶあき)
トレンドマイクロ サポートサービス本部 コアテクノロジーサポートグループ スレットモニタリングセンター マネージャー
1975年生まれ。北海道札幌市出身。2002年にトレンドマイクロに入社。ゲートウエイ製品のサポートエンジニアを経て,2003年11月よりゲートウエイ製品のプロダクトスペシャリストとして従事。2004年10月より,企業向けの有償サポートのエンジニアおよびウイルス発生時のインシデント・オペレーションなどに従事。2007年より現職。CISSP。