拡散状況はどうなってるか
エフセキュアラボでは、「拡散状況」という言葉をよく使う。だが、拡散状況とは何なのか?
実行可能ファイルの拡散状況は、当社の顧客ベース全体でそのファイルが見つかった回数として定義される。悪意のある実行可能ファイルは、時間とともに希少な存在になっていく傾向があり、ほとんどが生まれてはすぐに消えていく。したがって、バイナリを目にした回数は、そのバイナリが怪しいものであるかどうかの目安となり得る。当社の保護技術はクラウドに接続しており、機能する仕組みの一部としてクラウドを利用しているため、拡散状況を数量的に把握しやすい。
悪意のある実行可能ファイルがなぜ希少なのかを理解するために、遠い過去へと旅してみよう。
もちろん、これらのフロッピーの中に、核ミサイル発射のコードなど入っていない。
一番初めに作られたウイルスの多くは、実際、悪意のあるものではなかった。ハッカーたちが言葉遊びのスキルを誇示するためだけに作成したものだ。そうしたウイルスが動くさまを見てみたければ、Mikko (英文) が設立を手伝った、archive.org.のMalware Museum (英文) を覗いてみるとよい。
時が経つにつれて、ますます多くのウイルスが、悪意のあるアクションの実行を唯一の目的として作成されるようになる。悪意のあるファイルの数が増え、一般社会にも問題を引き起こすほどになり、そうした事態を受けてAV業界が誕生する。また、「マルウェア(malware)」という言葉も作り出されることになる(「悪意のある(malicious)」と「ソフトウェア(software)」との混成語)。
当時は、毎週のように新規のマルウェアファミリー/亜種が作り出されていたものの、その数はほんの一握りだけだった。そのため、マルウェアを検出する手法は実に単純なもので十分だった。あちらこちらの数バイトを比較したり、特定の文字列を検索したりすれば事足りたのだ。マルウェアが1つのバイナリとして存在していたため、そうした検出手法で必ず捕えることができていたのだ。
マルウェア作者も、ピカピカの新作のために注いだ努力が、サンプルが発見されて共有される数時間で無駄なものになってしまうことにすぐに気が付くようになる。そうした単純なAV検出手法を回避するために、彼らは、ありとあらゆる術策を新たに編み出さなければならなくなった。そして、彼らは実際にそうしたのだった。
最も成功したトリックの1つは、ポリモーフィックコードの使用であり、これは90年代前半に始まる。マルウェア作者は、コードを暗号化の層でラッピングすることで、機能は同じだが、単純な検出手法を十分回避できる程度に構造が異なるペイロードの、新たなコピーを生成できるようになった。マルウェアの新たなコピーは、それぞれわずかに異なるキーを用いて作成され、バイナリそれ自体の作成が自動化されるようになる。新たなサンプルはすべて、サーバー側の配布地点からオンデマンドで生成された。In-the-Wildウイルスリストに載った新たなサンプルはいずれも特異性を持つものだったため、80年代後半から90年代前半のファイルベースの検出手法では十分に対応できなくなってくる。
機能は似ているが構造の異なるバイナリを大量にばらまく手口は今日に至るまで存在している。マルウェア作者は今でもなお、最も単純な検出手法(シグニチャベースの手法)からバイナリを守る必要がある。マルウェア作者による、AV企業への、このように絶え間なく動く標的の提供は、今日に至るまで攻める側と守る側が行っている、いたちごっこ (英文) の一部分である。
では、拡散状況の分析はなぜ機能するのだろうか。つまるところは、クリーンなファイルということになる。世に出ている、そして当社の顧客ベースによって使用されている正当なソフトウェアの範囲は、かなりよく把握されている。当社では常に、当社の信頼できるバイナリのリストに新たに追加できる、正当なクリーンなファイルをインターネット上で探し続けている。それに加え、正当なバイナリの多くは、信頼できるプロバイダーによって署名されており、かなりホワイトリスト化しやすくなっている。この「既知のクリーンな」ファイルセットは、どちらかと言えば、めったに変更されることはない。反対に、新たな悪意のあるバイナリは、毎日のように氾濫しているのを目にする(何万という単位で)。当社の既知のクリーンなファイルのリスト、または既知の悪意のあるファイルのリストのどちらにも分類されないバイナリは、いずれも未知とみなされる。そして、それらのファイルのうち、より希少なものであればあるほど、悪意のあるファイルである可能性は高くなる。エンドポイントのビヘイビア分析で、そのことが裏付けられることが頻繁にある。
たとえば、既知の脅威を監視しているエフセキュアの内部システムから生成された統計情報によれば、2013年の最初の4か月で見つかった悪意のあるプログラムを無作為に抽出したところ、真の脅威の99.7%は、当社の顧客ベースでめったに見られないものだった。
ご推察のとおり、拡散状況は、高度な標的型攻撃で使用されるような、特異性を持つバイナリを阻止するのに効果的である。拡散状況の分析とビヘイビア分析とを組み合わせて利用することで、現実世界の脅威 に対して十分に張り合えるのだ。
カテゴリ