ポリモーフィック|サイバーセキュリティ.com

  1. ホーム /
  2. セキュリティ用語集 /
  3. ポリモーフィック
             

ポリモーフィック

ポリモーフィック(Polymorphic)とは、主にコンピュータウイルスやマルウェアの特性を表す用語で、ウイルスが「多形的」に形を変えながら活動する性質のことを指します。ポリモーフィック型のマルウェアは、複製のたびにそのコードを変化させ、検知を回避することでセキュリティソフトやウイルス対策システムからの検出を困難にします。例えば、ウイルスがファイルに感染する際、暗号化やコードの変形を行い、同じウイルスでも形状が異なるバリエーションを生成するため、単一の署名ベースのウイルススキャンでは検出が難しくなるのです。

ポリモーフィック技術は、特に高度なサイバー攻撃やマルウェアの進化において重要な役割を果たし、マルウェア開発者はこの技術を利用して検出回避を図ります。ポリモーフィックマルウェアは、コードの中に複数の変形アルゴリズムを持っており、実行するたびにコードの一部を暗号化し復号しながら異なる形に変化させるため、検知・防御が非常に難しいのが特徴です。

ポリモーフィックの特徴

1. コードの変形

ポリモーフィックマルウェアは、自らのコードを複製する際に、コードの一部を変形させて異なるバリエーションを生成します。これにより、従来のパターンマッチング方式のウイルススキャンでは、異なる形をしたマルウェアの検出が困難になります。

2. 暗号化技術の使用

ポリモーフィック型のマルウェアは、暗号化を使って自身のコードを隠し、実行の際に復号化する仕組みを持つことが多いです。ウイルス自体は暗号化されているため、検出されにくくなり、特定のトリガーが起動したときにのみ解放されるように設計されています。

3. 多様な変形アルゴリズム

ポリモーフィックマルウェアは、特定のアルゴリズムによって生成される形が異なるため、たとえ同じウイルスでも複製するたびに異なる形状で発見されます。これにより、単一の検出ルールではすべてのバリエーションを捕捉するのが難しくなります。

ポリモーフィックの仕組み

ポリモーフィックマルウェアは、以下のプロセスで動作し、セキュリティ検知を回避します。

  1. 暗号化:マルウェアのコードは、暗号化アルゴリズムによって変形され、従来のウイルス署名と一致しない形に変えられます。
  2. 復号ルーチンの追加:暗号化されたマルウェアコードに復号化ルーチンが付加されます。この復号ルーチンは、ウイルスが実行される際にコードを復元し、ウイルスを発動させます。
  3. 復号ルーチンの変形:復号ルーチンそのものも変形させることで、複製ごとに復号化の仕組みが異なり、検知をさらに困難にします。
  4. 実行と再暗号化:ウイルスが実行されると、次の複製を暗号化して保存し、さらに異なる形態を持ったマルウェアが生成されます。

このように、ポリモーフィックマルウェアは、常に異なる形で存在するため、パターンマッチングだけに頼るウイルス対策ソフトの検知をかいくぐります。

ポリモーフィックマルウェアの例

ポリモーフィック技術を使ったマルウェアは数多く存在し、次のような例が代表的です。

1. スパイアイズ(SpyEye)

SpyEyeは、オンラインバンキングを標的とするマルウェアで、ユーザーの銀行認証情報やクレジットカード情報を盗む目的で使用されました。このマルウェアは、検出を回避するためのポリモーフィック技術を採用しており、ウイルス対策ソフトから隠れながら活動することが可能でした。

2. クレズ(Klez)

Klezは、2000年代初頭に大規模な感染を引き起こしたポリモーフィックウイルスで、電子メール経由で感染を拡大しました。複製のたびに異なる形状を持つため、当時のウイルス対策ソフトにとって検出が非常に困難でした。

3. スニコビ(Sonicovey)

Sonicoveyは、ソーシャルメディア経由で拡散するポリモーフィックマルウェアの一例で、変化し続けるコードを持つため、ウイルス対策ソフトでは検出しづらく、短期間で広範囲に感染が拡大しました。

ポリモーフィックマルウェアへの対策

ポリモーフィックマルウェアは、通常のウイルス対策ソフトだけでは完全に防ぐことが難しいため、いくつかの追加対策が有効です。

1. ヒューリスティック分析の活用

ヒューリスティック分析は、ファイルの挙動やコードの特徴から、従来のパターンマッチング方式では検出が難しい未知のマルウェアを検出する技術です。ポリモーフィックマルウェアの変化に対応するため、ヒューリスティック分析を併用することで、動的なマルウェア検出が可能になります。

2. 行動ベースの検出技術

ポリモーフィックマルウェアが変形しても、特定の行動パターン(ファイルの暗号化やバックグラウンド通信)には共通点が見られるため、行動ベースの検出技術を導入することで、異なる形状のマルウェアも検出できます。

3. サンドボックスの活用

サンドボックスは、疑わしいファイルを仮想環境で実行して挙動を分析する仕組みです。ポリモーフィックマルウェアをサンドボックス内で実行し、その動作を観察することで、実行時のリスクを検出することが可能です。

4. エンドポイントの監視と管理

エンドポイント(各デバイス)の監視を強化し、異常な挙動や通信がないかを監視することで、ポリモーフィックマルウェアの感染拡大を防止します。エンドポイントでの脅威が検出されると、ネットワーク全体に警告が通知されるような体制を整えることも重要です。

まとめ

ポリモーフィックマルウェアは、変形と暗号化によってウイルス対策ソフトの検出を回避する巧妙なサイバー攻撃の手法です。オンラインバンキングや電子メールなどを狙い、ユーザーのデバイスに潜伏しながら情報を盗むなど、複雑な被害を引き起こします。従来のウイルス検出技術だけでなく、ヒューリスティック分析や行動ベースの検出技術を取り入れることが、ポリモーフィックマルウェアからシステムを守るための効果的な対策となります。

関連コラム(あわせて、以下の記事もよく読まれています)

製品・サービス(当該コラムの内容に関連する製品・サービスはこちら)


SNSでもご購読できます。