インターネットには、標準的なマルウェア、トロイの木馬、ランサムウェアなど、さまざまなデジタル脅威が存在します。ポリモーフィック・ウイルスは、サイバーハザードの中でも最も危険なものの1つであり、それを回避するため、そして自分のコンピュータがポリモーフィック・ウイルスに感染したことを知るために、理解しておく必要があります。
ポリモーフィック・ウイルスとは何か、どのように機能するのか、よく分からないという方は、ぜひご一読ください。
ポリモーフィック・ウイルスとは何か?
一言で言えば、ポリモーフィック・ウイルスとは、セキュリティソフトによる検出を回避し、標的のパソコンや周辺機器へ感染しやすくするため、自分自身を自ら変化し、多くの異なるバージョンを作成するコンピュータ・ウイルスの一種です。「ポリ」は「多数」を意味し、「ポリモーフィック」ウイルスとは、異なる形状(または、異なるコードの外観)を持つことができるウイルスのことを指します。
他の種類のマルウェアと同様に、ポリモーフィック・ウイルスは有害で、侵入しやすく、そして破壊的です。ポリモーフィック・ウイルスは、その名前が示すように変化したり「モーフィング」したりするため、アンチウイルス・プログラムやファイアウォールが検出・阻止することを非常に困難にさせます。このため、ポリモーフィック・ウイルスは、ハッカー、ID 窃盗団、詐欺師などに人気があり、よく利用されています。
ポリモーフィック・ウイルスの例
これまでに確認された最初のポリモーフィック・ウイルスは、1260またはV2PXと呼ばれていました。これは、1990年にコンピュータ研究者のMark Washburn氏の研究プロジェクトで作られたものです。1991 年という早い時期に、多くの非研究用ポリモーフィック ウイルスが作成されました。
最近のポリモーフィック・ウイルスの例としては、Storm Wormがあります。2007年に初めて発見されました。このウイルスは、バックドア型のトロイの木馬ウイルスを使用し、電子メールメッセージを通じて拡散し、コンピュータシステムやデバイスを “ボット” と呼ばれる自動化ツールに変えてしまう可能性があります。
ポリモーフィック・ウイルスのもう1つの例は、2014年に初めて発見されたランサムウェア・ウイルスのVirlockファミリーです。このウイルスファミリーは、ウイルスが新しいファイル上で自身を実行するたびに変化する、ランダムに生成された復号化コードを使用していました。
ポリモーフィックマルウェアとメタモーフィックマルウェアの違い
ポリモーフィックマルウェアとメタモーフィックマルウェアは似ているように聞こえますが、悪意のあるウイルスの種類としては別物です。ポリモーフィック型マルウェアとメタモーフィック型マルウェアの主な違いは、ポリモーフィック型マルウェアは、コード署名を変更するために自身を変形させるという点です。これは、可変の暗号化キーによって行われます。一方、メタモーフィックマルウェアは、暗号鍵を使用せずにコードを変更したり書き換えたりします。
なぜこのような違いがあるのでしょうか。ポリモーフィック型マルウェアは、より一般的なマルウェアです。実際、ほとんどのマルウェアの実行ファイル(.exeファイル)は、ポリモーフィック型マルウェアの一種です。メタモーフィック型マルウェアは、より複雑で、より変形しやすく、作成がより困難なものです。しかし、その分、アンチウイルスソフトウェアやファイアウォールが検出するのも難しくなっています。
ポリモーフィック・ウイルスはどのように動作するのか?
ポリモーフィック・ウイルスは、変異または形態変化するたびにコードの外観を変えることによって機能します。しかし、ポリモーフィック・ウイルスの基本機能または標的機能は、変異するたびに同じままです。
残念ながら、ポリモーフィック型ウイルスは、その外観を変えることにより、アンチマルウェアプログラムが前もって認識することがほとんど不可能になるため、非常に危険です。上記の例で言うと、スパイウェアのキーロガー・プログラムがマルウェア対策プログラムに検出された場合、マルウェア対策プログラムは検出したシグネチャをデータベースに追加するだけです。ポリモーフィック・ウイルスが再び変化した場合、いずれにせよファイアウォールをすり抜ける可能性があります。
ポリモーフィック・ウイルスは、以下のような特徴があります。
- コードやシグネチャの暗号を生成する。
- 変異するたびに異なる暗号化キーを使用し、さらに偽装を強化する。
- 変異エンジンを使用して、新しいマシンに感染するたびに復号化ルーチンを変更する。
ポリモーフィックウィルスとその亜種が使用する変異エンジンは、非常に高度で複雑です。その結果、何十億もの異なるコード文字列や復号化ルーチンを作成・実装することができ、マルウェア対策ソフトウェアによるウイルスの検出をさらに困難にし、新たな脆弱性をもたらすことになります。この種のウイルスは、あらゆるオペレーティング・システム上のファイルに感染する可能性があります。
ポリモーフィック・ウイルスを検出する方法
ある種の技術や方法を用いれば、ポリモーフィック・ウイルスを検知することは可能です。
アンチウイルス・ファイアウォールなどのサイバーセキュリティ製品の大半は、シグネチャベースの検出方法を採用しており、ポリモーフィック・ウイルスはこれを回避することができます。機械学習アルゴリズムやアプリケーション・ホワイトリスト化ソフトウェアなどの新しいセキュリティ技術では、動作に基づいた分析を行い、ウイルスの動作やコンピュータ・システム間、ファイル間の移動に基づき、ウイルスを検出します。
また、機械学習アルゴリズムは、未知のプログラムの動作に加え、APIコールやファイル名などの「静的」な特性を利用して、悪意のあるコードを動作中にうまく特定することもできます。また、いわゆるヒューリスティック・スキャンを使用して、ポリモーフィック・ウィルスが正常に動作するために必要な重要コンポーネントやコア・コンポーネントを探し出すこともできます。これは、ソフトウェアがウイルスの動作や拡散を防止するのに役立ちます。
しかし、ポリモーフィック・ウイルスを検出する最善の方法の多くは、一般消費者が利用できるものではありません。このため、可能な限りポリモーフィック・ウイルスに感染しないようにすることが最善です。
ポリモーフィック・ウイルスの感染を防ぐためのベスト・プラクティス
ほとんどの場合、ポリモーフィック・ウイルスの感染を防ぐためのベスト・プラクティスは、他のタイプのサイバー脅威を回避するために用いられるのと同じものです。以下に、その例をいくつか紹介します。
常に最新のアンチウイルスソフトウェアを使用する
まず、お使いのコンピュータに堅牢なファイアウォールを含むアンチウイルス・ソフトウェアがインストールされていることを確認し、そのソフトウェアを定期的に更新するようにしてください。ウイルス対策ソフトの定期的な更新は、ウイルス対策ソフトが使用するデータベースも定期的に更新されるため、重要です。新しいウイルス定義ファイルをコンピュータにダウンロードしなければ、ファイアウォールが新しいマルウェアプログラムを認識し、阻止することができなくなります。ポリモーフィック・ウイルスを防ぐのに最適なアンチウイルス・ソフトウェアは、従来のブラックリスト型アンチウイルスではなく、アプリケーション・ホワイトリスティング技術を利用したものです。
不審なファイルをダウンロードしない
次に、信用できない、あるいは送信者が信用できない不審なファイルをダウンロードしないように注意しましょう。例えば、誰かがあなたにメールを送り、それがどこから来たのか、送信者が誰なのか、そのファイルが何についてなのかわからない場合、早いうちに削除してください。
不審なファイルは、マルウェアプログラムがあなたのコンピュータやモバイル機器に侵入する最も簡単な方法です。
不審な電子メールを開かない
同様に、不審なメールを開くことも完全に避けてください。見知らぬメールアドレスからスパムメールを受け取った場合、特に文字と数字をランダムに組み合わせたようなメールアドレスは、すぐに削除し、過去を振り返らないようにしましょう。これは、フィッシング詐欺やその他のサイバー脅威を避けるための良い方法です。
安全でないウェブサイトを避ける
安全でないウェブサイトとは、ホストサーバーとの間のトラフィックを暗号化していないウェブサイトを指します。可能な限り、安全でないウェブサイトは避けましょう。ウェブサイトが適切に保護されているかどうかは、アドレスバーに南京錠のマークが表示されているかどうかで判断できます。これは、そのウェブサイトがSSL暗号化によって保護され、SSL認証を取得していることを示します。
定期的なアンチウイルス・スキャン
最後に、少なくとも週に一度はアンチウイルスプログラムを起動し、コンピュータやモバイルデバイス上で包括的なウイルススキャンを実行することができます。これにより、ファイアウォールの隙間から入り込んだマルウェアを発見することができます。
ポリモーフィック・マルウェアの検出と阻止は難しいとはいえ、不可能ではありません。コンピュータをスキャンするたびに、アンチウイルス・ソフトウェアにウイルスを捕らえ、完全に駆除するチャンスを与えているのです。PC Maticのようなマルウェア対策に特化したアプリケーションをダウンロードし、ポリモーフィックウィルスのようなマルウェアウィルスがPCに感染する前に防ぐことに特化するのも賢い方法かもしれません。
まとめ
ポリモーフィック・ウイルスは、従来のブラックリスト型ウイルス対策ソフトウェアでは検出が非常に困難な現代のデジタルハザードです。サイバー衛生のベストプラクティスを守り、アプリケーションのホワイトリスト化ソフトウェアを使用し、新しいマルウェア対策を常に把握することで、デバイスやコンピュータの安全を確保することができます。セキュリティソフトウェアを常に最新の状態に保ち、安全でないウェブサイトを避け、信頼できないファイルはダウンロードしないようにしましょう。運が良ければ、ご自宅のパソコンでポリモーフィック・ウイルスに遭遇することはなくなるでしょう。
