最新ニュース

日本の「リネージュ」ユーザーは集団活動が好き〜東大池田教授が実態分析

ゴメス、2003年夏期の国内・海外旅行サイトのランキングを発表

UIS、永井豪などが登場する「コミックス・アニメ祭」を開始

インターネット接続利用者数、ブロードバンド加入者が1,100万人に近づく

1週間メールのない生活は「離婚よりストレス」〜Veritas調査

OCN、Web上でホームページを作れる「ホームページ簡単キット」

NTT西日本、ブロードバンド回線を活用したVPNサービス提供開始

テックジャム、9,500円の検索キーワード解析ツール

オンライン音楽市場はまだ成長の余地あり〜米Jupiter調査

BIGLOBE、直販サイトを集約した「BIGLOBE STORE」を開設

テレマン、31の離島で衛星ネットを活用した常時接続環境の整備構想

感染するとIEのパフォーマンスが低下するウイルス「Bingd」

CRLの研究施設公開イベントで、今年も“無線LANラジコン”が登場

米ISS、WindowsのRPCに関する脆弱性の有無をチェックできるツール

InfoSphereに@FreeD対応の固定IP付与サービス

総務省、電波再配分の給付金算定に関する報告書を公開

情報通信審議会、携帯技術やアニメ・ゲームを活かす「日本型新IT社会」提言

ITXと有線ブロード、企業向け光ブロードバンド事業で合弁会社設

NRIら、実証実験に基づいた無線LANの設計・運用サービス

IE用の国際化ドメイン名プラグイン「i-Nav」がRFCに準拠

OCNでアクセス集中によるDNS障害が発生。現在は復旧

ソフトバンクBB、必要な機能だけを追加利用できるセキュリティサービス

日本気象協会、患者が急増している熱中症の予防情報サイトを開設

日本語ドメイン名の普及に、残る課題はアプリケーションの対応〜JPRS取締役

損保ジャパン、ネット上でリアルタイムに事故対応状況を照会できるサービス

シマンテック、感染するとうるさいウイルス「Lorsis」を警告

Web上のグラフィック技術「X3D」が国際規格へと一歩前進

著名なダウンロードサイト「Download.com」が殿堂入りソフトを4本発表

ノルウェーTelenor、航空機向けに衛星経由のパケットデータサービス

【連載】検索エンジンの裏側 第10回 Yahoo!のOverture買収で浮上した3つの疑問

【レポート】

〜トレンドマイクロ、ウイルステクノロジーセミナーを開催

「Slammer被害が韓国で大きいのは大手ISPが感染したのが要因」John Hermano氏

■URL
http://www.trendmicro.co.jp/

 トレンドマイクロは、報道関係者向けにウイルス解析技術の動向を説明するセミナーを開催した。セミナーには、トレンドマイクロのウイルス解析技術グローバルプロダクトマネージャーのJhon Hermano氏が来日し、ウイルスのトレンドなどについて講演を行なった。

○複雑化していくウイルス


トレンドマイクロのウイルス解析技術グローバルプロダクトマネージャー
Jhon Hermano氏

 セミナーでは、まず2002年に流行した攻撃手法が説明された。2002年に目立った攻撃手法としてHermano氏は、Klezを代表とした「複数の感染経路を持つウイルス」や複数のコンポーネントを持つ「複数の構成からなるウイルス」、Bugbearを代表とするパスワード漏えいやキーロガー機能など「複数の機能を持つウイルス」などを挙げた。いずれのタイプも“複数”の機能や感染経路を持つという点で共通しており、今後もこの複雑化の傾向を辿り、複雑化に比例して危険度も増していくと予測している。

 また、Windowsなどのセキュリティホールを利用したウイルスも大量に発生したが、実際に利用しているセキュリティホールの数はそれほど多くなく、いくつかの重大なセキュリティホールに集中しているため、緊急度に合わせてパッチを適用すればそれほど被害は大きくならないだろうと説明した。


○今後は強力なエミュレーションエンジンが必要


 Hermano氏はウイルスを大きく「ファイル感染型」と「ファイル感染型以外」の2種類に分類して説明を行なった。「ファイル感染型」は、メールやネットワーク等で自身を拡散するウイルスで、実行後PCのフォルダに自分自身をコピーして感染する。ファイル感染型の感染方法では、「メタモーフィック型」と「ポリモーフィック型」が主流だという。

 メタモーフィック型は、ウイルスコード自体が毎回変わるようにプログラムされたウイルス。ウイルスコードが変わるため、ウイルス定義ファイルでのパターンマッチングは難しい。ポリモーフィック型は、ウイルスのプログラムコード自体を暗号化し隠蔽するというもの。

 トレンドマイクロでは、メタモーフィックやポリモーフィック技術を利用したウイルスに対応するために、エミュレーション技術を行なっているという。このエミュレーション技術とは、ウイルスコードを仮想に実行することによりそのウイルスコードの動きを解析し、ウイルスか否かを判断するというもの。Hermano氏は、エミュレーション技術は今後益々複雑化していくであろうウイルスに対抗するためには、必要な技術であり、研究を進めているという。実際にトレンドマイクロでは、最新のウイルス検索エンジン「VSAPI 6.510」にて、高度な暗号化などに対応したエミュレーションエンジン「Softmice III」を搭載し、エミュレーションエンジンを強化しているという。

○コンパニオン型の増加とXMLを利用したウイルスの出現


 今後のウイルストレンドとしてHermano氏は、メタモーフィック型やポリモーフィック型に加えてコンパニオン型の増加を予測した。

 コンパニオン型は、正常なアプリケーションプログラムを起動した際に、気づかないところで同時にウイルスプログラムも起動するというもの。例えば、「Explorer.exe」をいったんウイルス自身にリネームすることにより、「Explorer.exe」を起動すると毎回、ウイルスと通常のExplorerが同時に起動するようになるというもの。感染に気付かなければ、使用頻度の高いアプリケーションと同時にウイルスも起動していることになるため、危険性が高い。

 また、ポリモーフィック型やコンパニオン型のように、バイナリーで構成されたウイルスが最近の傾向としては多いが、JavaやPerlなどで作られたスクリプトタイプのウイルスもまだ発生するだろうとHermano氏は予測している。

 スクリプトタイプのウイルスは、JavaやPerlなどを用いたものは減少するものの、マイクロソフト「.NET」の普及によりXMLを利用したスクリプトタイプのウイルスが出現するかもしれないと語った。

 最後にHermano氏は、Slammer被害が韓国で大きかった点について「韓国でネットワークトラフィックに遅延が発生したのは、韓国大手ISPのSQLサーバーが感染したためだと考えている。さらに、Slammerの性質上攻撃対象IPアドレスが集中することや、パケットが小さいこともトラフィック増加の要因だろう。いずれにせよ、SQLサーバーのパッチを当てていなかった可能性が高く、セキュリティ面に不安があったことは確かだろう」と語った。

ポリモーフィック型ウイルスのイメージ図 メタモーフィック型ウイルスのイメージ図

◎関連記事
ウイルス「Slammer」リンク集
Microsoft SQL Server 2000の脆弱性を利用したウイルスが発生
トレンドマイクロのウイルスバスター、最新エンジンに不具合を確認

(2003/1/30)

[Reported by otsu-j@impress.co.jp]

INTERNET Watchホームページ

INTERNET Watch編集部internet-watch-info@impress.co.jp
Copyright (c) 2003 Impress Corporation All rights reserved.