ウイルス対策はこれでカンペキ！　第5回ミューテーション型ウイルス 明日のためのウイルス講座 トレンドマイクロ

通常、ウイルスは感染したときに自分とまったく同じ「分身」を作り出します。前回紹介した「ウイルスドロッパー」はその例外でしたが、今回も一風変わった伝染方法を持つウイルスについて解説します。

「突然変異」の名前がつけられたウイルス

図1a　普通のウイルス

図1b　ウイルスドロッパー

図1c　ミューテーションウイルス

【ミューテーションウイルスと、普通のウイルス、ウイルスドロッパーの違い】

　ウイルスはいろいろな症状を持ち合わせていますが、発病したウイルスが感染する場合、ウイルス自身のコピーを増やしていくのが通常の動作です。サイズも症状も名称も同じ、これがウイルス感染の基本といえます。

　前回紹介した「ウイルスドロッパー」は、感染したウイルスが、自身とはまったく別種のウイルスを作り出すものでした。例えばファイル感染型なのに、システム感染型のウイルスを作成するなどです。これは、ウイルス自身にほかのウイルスを生成する能力が備わっているからなのですが、何種類もというわけではなく、あくまでプログラミングされている、限られた種類(たいていは1種類)のウイルスのみ作成することができます。

　これに対し、今回紹介する「ミューテーション型」ウイルス(ほかにもポリモフィック、ポリモルフ型などとも呼ばれます)は、また一風変わった能力を持ちます。ウイルスドロッパーのように、別種のウイルスではないものの、同じ症状を持ったウイルスを形を変えて作り出すのです。ミューテーションには「突然変異」という意味がありますが、言葉のとおり「突然変異」的にウイルスの形状を変えてしまうのです。

　でも、「同じ症状を持つなら、ワクチンソフトで検知できるんじゃない？」と思われるかもしれません。そこで、ワクチンソフトの仕組みについて、おさらいしてみましょう。ワクチンソフトのウイルス検知方法には、既存のウイルスをチェックするパターンファイルを利用する方法と、まったく新種のウイルスを検知する(ワクチンソフトごとに性能と名称が異なる)機能の2つがあります。このうち、新種のウイルスを発見する機能は、だいぶ高性能化してきているものの、あまり複雑なものだと検知することができず、もう1つのパターンファイルを使った検知方法に頼っているのが実際のところです。では、パターンファイルとはどういうものかというと、これも各ワクチンベンダーごとに仕様が異なりますが、「ウイルスの特徴的なコードを記録したもの」と解釈すれば、だいたい正解です。パターンファイルとファイルを照合し、ウイルスチェックを行うわけです(そのため、ごくまれにですが、ウイルスに感染していないファイルでもウイルスコードに似た部分があると、間違って検知してしまう場合があるのです)。

【ミューテーションする「WORM_HYBRIS」】　図2　プラグインをダウンロードして症状を増やす「WORM_HYBRIS」は、暗号化機能を持つ「半」ミューテーション型ウイルスだ。

　再びミューテーション型ウイルスの話に戻りますが、このウイルスは前述のとおり突然変異的に姿を変えますが、困ったことに「ウイルス自身の特徴的な」部分まで変えてしまいます。ミューテーション型ウイルスの「突然変異」「姿を変える」というのは、実のところ「暗号化」のことです。暗号化してしまえば、同じ機能をもちつつ姿を変えることが出来ます。つまり、暗号化することでワクチンソフトのパターンファイルを無効化するのです。この点が生成されるウイルスもパターンファイルで対応可能なウイルスドロッパーと大きく異なる点です。さらに、形状は変わるのに症状は変わらないため、症状が深刻なウイルスであればあるほど被害が大きくなります。

ミューテーション型ウイルスへの対策

【ミューテーションウイルスの感染経路】

　とはいえ、同じ症状を持つウイルスですから、プログラムのコードすべてが変わるわけではないので、「見つけにくい」だけで、発見が不可能なわけではありません。また、ミューテーション型機能を持つウイルス自体それほど数が多いわけではなく、既存のものであれば、ワクチンソフトを導入している環境での感染の心配はほとんどないでしょう。問題は新種ウイルスとして登場した場合の話で、こうなるとワクチンソフトをインストールしてある環境でも安全とは言い切れなくなります。また、ミューテーション型のウイルスは、実態が完全に明らかになっているものが少なく、いつ突然新症状を発病するかわかりません。また、何度かこの連載で紹介している「WORM_HYBRIS」も「半」ミューテーション型ウイルスで、プラグインを組み込む機能を持つというまれな症状を持つため、恐ろしい存在です。

　とにかく、メールで送られてきたファイルは不用意に実行しない、Windows Updateで頻繁にセキュリティのパッチを適用するなど、まめな対策を地道に行うしかないでしょう。

• 【関連記事】ウイルス対策はこれでカンペキ！　第4回　ウイルスドロッパー「明日のためのウイルス講座」
• 【関連記事】ウイルス対策はこれでカンペキ！　第3回　ワーム「明日のためのウイルス講座」
• 【関連記事】ウイルス対策はこれでカンペキ！　第2回　トロイの木馬「明日のためのウイルス講座」
• 【関連記事】ウイルス対策はこれでカンペキ！　第1回　ダイレクトアクション・ウイルス「明日のためのウイルス講座」
• 【関連記事】トレンドマイクロ「ウイルスバスター2003 リアルセキュリティ」レビュー
• 【関連記事】トレンドマイクロ「ウイルスバスター2002」レビュー
• 【関連記事】ウィルス対策／ネットワーク管理レビューインデックス
• 【関連記事】トレンドマイクロ「Trend Micro GateLock X200」レビュー
• 【関連記事】TA／ルータ／無線LANレビューインデックス
• 【関連記事】ASCII24「新種ウイルス『W32/Nimda』の感染が急速に拡大」ニュース
• 【関連記事】ASCII24「トレンドマイクロ、“Nimda”ワーム対策ページを主要ISPサイト上などに増設」ニュース

(編集部・田代 靖裕)