多型ウイルス

ポリモーフィック・ウイルスは、核となる機能を保持したままコードを変更するために変異する。

.st0{fill:#0D3ECC;} MALWAREBYTES 無料でダウンロード

また Windows, iOS, Android, Chromebookビジネス向け

多型ウイルスとは何か?

生物学的ウイルスとコンピューターウイルスにはいくつかの類似点がある。生物学的ウイルスが生存と増殖のために細胞に侵入するのに対し、コンピュータ・ウイルスは増殖と拡散のためにコンピュータのシステム内のファイルにおんぶに抱っこである。また、どちらのタイプのウイルスも、宿主のコードを操作して破損させ、自分自身のコピーを作ることができる。

多形性ウイルスと呼ばれるコンピューターウイルスのサブセットは、生物学的な対抗手段である変異という別の特徴を持っている。インフルエンザ・ウイルスが頻繁に変異していることや、コロナウイルスの亜種が増加していることを思い浮かべてほしい。同様に、多型ウイルスは、通常はその中核機能を維持しながら、コードを変更するために変異する。変異する生物学的ウイルスと多形性PCウイルスの違いは、前者が自然に変異するのに対し、後者は誰かが多形性をプログラムすることである。  

多型ウイルスは何をするのか?

通常のコンピュータ・ウイルスと同様に、ポリモーフィック・ウイルスはデータを破壊し、システム・リソースの速度を低下させ、時にはブルースクリーンエラーのようなコンピュータの誤動作を引き起こします。すべてのウイルスは、ポリモーフィックであろうと通常のものであろうと、ホスト・プログラムを必要とし、システム間を移動するためにユーザーのアクションを必要とし、悪意のあるコードの断片をホスト・ファイルに添付するか、悪意のあるコピーで完全に置き換えます。ポリモーフィック・ウイルスは、ポリモーフィック・エンジンを使用して、通常は暗号化によってコードを隠します。

変異エンジンとしても知られるポリモーフィック・エンジンは、複製するたびにマルウェアの復号化手順を変更し、従来のアンチウイルス・ソフトウェアでは識別が困難な新しい状態にする。映画で例えるなら、ポリモーフィック・ウイルスはターミネーター2のT-1000のようなもので、変幻自在に姿を変えながら、その中核となる機能を失うことなく正体を隠そうとする。

ポリモーフィック・ウィルスとポリモーフィック・マルウェアの比較

人々がポリモーフィック・ウイルスについて語るとき、それはしばしばポリモーフィック・マルウェアを意味する。このことをよりよく理解するためには、コンピューティングにおけるウイルス感染とマルウェア感染の違いを知る必要がある。要するに、ウイルスはマルウェアの一種に過ぎない。変異エンジンを使ってアンチウイルス技術を回避することができる他のタイプのマルウェアには、ワーム、トロイの木馬、ボット、キーロガー、ランサムウェアなどがあります。例えば、Emotetのようなポリモーフィック・マルウェアは、サイバーセキュリティ・ツールを欺いて身を隠しながら機密情報を盗むバンキング型トロイの木馬です。  

ポリモーフィック型マルウェアのもう1つの例は、Win32/VirLock ランサムウェアです。Win32/VirLockはコンピュータの画面をロックし、データを暗号化するだけでなく、感染したファイルや実行ごとにその構造を変化させます。Virlockは、ポリモーフィズムを使用する最初のランサムウェアの1つです。  

ポリモーフィック・ワームとは何か?

ポリモーフィック・ワームは コンピュータ・ワームの一種であり、増殖するにつれてその構造を変化させるため、検出が困難である。さらに、ポリモーフィック・ワームは、セキュリティ・ソフトウェアによる阻止を防ぐために、悪意のあるペイロードを変更することもあります。Storm Wormは、シグネチャを変化させるため、従来のアンチウイルス技術では対処が困難であった適応型マルウェアの一例です。このワームのポリモーフィック・パッカーには多くのバリエーションがあり、10~30分ごとにシグネチャを変更することが可能でした。Stormの脅威回避能力は、コンピュータにバックドアを開けたり、大規模なボットネットを容易に形成したりするため、サイバーセキュリティの専門家をいらだたせるものでした。

ポリモーフィック型マルウェアとメタモーフィック型マルウェアの違いは?

ポリモーフィック・マルウェアは、検出を阻止するために元のコードを暗号化するが、コードを変更することはない。しかし、メタモーフィック・マルウェアは自身のコードを変更するため、より危険だ。メタモーフィック機能を持つマルウェアがホストに感染すると、次の反復はまったく異なるものになる可能性がある。  

多型ウイルスは検出できるか?

ポリモーフィック・ウイルスや変異エンジンを使った悪意のあるソフトウェアは、感染後にその状態を変化させるため、従来のアンチウイルス・ツールでは検出が難しい。ご存知のように、一般的なセキュリティ・ソフトウェアはシグネチャ・ベースの技術を使用しています。ポリモーフィック・マルウェアがシグネチャを変更する場合、シグネチャ検出を使用するアンチウイルス・ソフトウェアでは対応できません。  

しかし、アンチマルウェア技術にヒューリスティック分析を使用する高度なアンチウイルスソフトウェアは、ポリモーフィックマルウェアのような新たな脅威を検出することができます。では、「ヒューリスティック」とはどういう意味なのだろうか?研究者たちは、潜在的な脅威の構造、プログラミング・ロジック、データを精査し、ジャンクコード、異常な命令、脅威の挙動を検出するマルウェア対策プログラムを表す言葉として、この言葉を考案した。

他のサイバー脅威と同様、ポリモーフィック型マルウェアは、フィッシングメール、悪意のあるウェブサイト、危険なリンクを通じて拡散します。また、オペレーティング・システムやプログラムの欠陥を利用することもあります。感染する脅威を防ぐには、完全な防御戦略が必要です。プロアクティブなウイルス対策ツールを使用し、ソフトウェアに定期的にパッチを当て、ポリモーフィック・ウイルスが採用する可能性のある感染経路から逃れるようにしましょう。ポリモーフィック型脅威の阻止を目指す組織のリーダーは、機械学習と 人工知能を使用して敵対的なコードを認識・防止するエンドポイント・プロテクションへの投資を検討すべきである。