トレンドマイクロの技術陣が、ウイルスのすべてを徹底解説。ウイルスを中心とした脅威がどのように変化しているのか。最新動向に加え、新しい脅威に対抗する新技術などを紹介しよう。
現在の脅威とは
コンピュータの性能の進化や利用範囲の拡大とともに、コンピュータに対する脅威も変化し続けている。数年前と比べると、現在はウイルスの亜種が大量に登場する傾向が顕著である。その傾向を表わす数字として、流行ウイルスの占有率がある。メールによって爆発的に感染を広げる「マスメーリングワーム(Mass-Mailing Worm)」による感染が主流だった2001年は感染報告数トップ10のウイルスが全報告数の約70%を占めていた。
しかし、特定のウイルスが流行して猛威をふるうという傾向は、実は年とともに減少している。そして、感染報告数トップ10のウイルスによる被害は、2007年に集計以来最低の約4.5%まで減少し、2008年も全体の約1割程度に留まっている(図1)。
図1 被害の分散化
この数字の遷移により、少数の限られたウイルスが世界中に拡散して被害を与えていた状況から、膨大な種類のウイルスが限定的な範囲に被害を与える形に変化していることが読み取れる。ウイルスの作者が多くの亜種が生み出し、インターネットに流布しているのが現在の脅威だ。
転換期は2004年
ウイルスの動向におけるターニングポイントが、2004年である。この年最大の脅威が「Netsky(ネットスカイ)」や「MyDoom(マイドゥーム)」、「Bagle(バグル)」などのマスメーリングワームであった。複数種のマスメーリングワームの亜種が競うように登場し大規模感染を巻き起こす様は、「ワーム戦争」と呼ばれた。ワーム戦争の1年間に、大規模感染を引き起こしたマスメーリングワームの亜種は30種類以上を数えたのだ。大量の亜種登場という傾向はワーム戦争により生み出されたといえる。
しかし、結果的にこの2004年のワーム戦争は、「マスメーリングワームによる世界的大流行」という脅威モデルの最後であった。1993年の「Melissa(メリッサ)」登場で始まったマスメーリングワームの流行はこれを境に小規模化し、地域が限定されるようになった。2005年以降には、単独のマスメーリングワームによる世界的な大規模感染は発生していない。
主戦場はボットへ
ワーム戦争が終わり、2005年には感染被害の報告はいったん減少した。しかし、その背後では「ボット(Bot)」が静かに変化を重ね、大きな脅威に成長していた。登場当初、ボットは単なるバックドア型の不正プログラムの1種と考えられていた。しかし、ボットを操る悪意のユーザーは、ボットに感染したコンピュータを束ねて「ボットネット(Botnet)」と呼ばれるネットワークを形成することに成功した。このボットネットの形成により、それまでの常識では考えられない、大きな規模の攻撃が可能となったのである。
ボットに感染したコンピュータは、ボット同士のネットワークに組み込まれ、次なる不正活動に利用されてしまう(図2)。ボットネットをコントロールする悪意のユーザーは、自身のボットネットの維持、そしてさらなる拡大のためにまたボットを拡散させる。
図2 ボットネットの仕組み
こうしてボットネットは拡大し続け、現在では国家規模での対策が必要なほどの巨大な脅威となった。ボットネットの拡大により、悪意のユーザーは大きな力を手に入れたのだ。
そしてボットによるバックドア活動やスパイ活動によって得られるユーザーの情報、ボットネットによる大規模なDoS攻撃やスパム中継サーバの貸し出しなどによって、依頼者から金銭を得る「ビジネスモデル」が確立したのだ。こうしてウイルス作者の動機は、世界的な大流行により自身の力を誇示する愉快犯的であいまいな動機から、ウイルスによって金銭的な実利を得ようとする目的指向へ転換した。ウイルスの作成と頒布自体が目的だった時代が終わり、ウイルスは悪意ある目的を達成するための重要な道具へ変貌を遂げたのである。
Strationの衝撃
自己満足から金銭へと目的がより明確、かつ強固になったウイルス作者は、いかにして自分のウイルスをユーザーのコンピュータに侵入させ、活動させ続けられるかに執心した。そしてワーム戦争の事例から、ウイルス対策ソフトの網の目を潜ってユーザーの下に侵入する方法として、大量の亜種の投入が有効であることに着目した。
ウイルス対策ソフトによる検出は、基本的にウイルスのサンプル(検体)を入手した上で対応を行なう。つまり、一度に大量の亜種が出回れば検体の収集に漏れが生じる率が高まるため、結果的にすべての亜種が完全に対応されるまでの期間が以前よりも長く続くことになってしまう。また、いったん侵入・感染したユーザーの下に新しい亜種を次々と送り込み続けることで、侵入後も長く活動を続けられると考えたのだ。
これを具現化したのが2006年後半に登場した「Stration(ストレーション)」による攻撃だった。Strationは、被害が広まり始めてからわずか半月の間に150種以上の亜種が登場し、大きな被害を与えた。当初はマスメーリングワームのリバイバルと思われたStrationこそ、ワーム戦争からボットネットの拡大を経てできあがった新しい脅威モデルの始まりだったのである。
筆者紹介:岡本勝之
1996年、トレンドマイクロ入社。「リージョナルトレンドラボ」にて不正プログラムなどのネットワーク上の脅威全般の解析業務を担当
