［英国］
巧妙に身を隠すマルウェアにご用心

（2007年01月11日）

　検索エンジンを用いてマルウェアの攻撃を調査しようとしても、無駄に終わることが多い。検索に引っかからないよう、巧妙に身を隠すマルウェアが増えているからだ。

　英国に本拠を置くセキュリティ企業、プレブクスは、2006年の1年間に検索エンジンが作成した3,000万件のデータベースを対象に、マルウェアのファイル命名方法について調査した。その結果、検索エンジンの網から逃れるために多くのマルウェアが巧妙な方法を用いていることがわかったという。

　その方法は主に3つある。検索エンジンに見つからないようによくあるファイル名を模倣する、一定回数のPC感染後にファイル名を変更する、検索パターン・ファイルのアップデートに要する期間（通常は1週間以上と考えられている）を悪用する、の3つだ。

　検索エンジンで見つけることができるファイル名であっても、索引付けには2～15日ぐらいかかり、このずれがマルウェアにとって“重要な”期間（「感染の窓」と呼ばれる）になっている。

　こうしたマルウェアの例としてプレブクスが挙げるのが、昨夏に出現した「Backdoor.Win32.IRCBot.BV」の関連実行ファイルである。これは、データを盗み出す「トロイの木馬」タイプのマルウェアで、マルウェア検索に引っかからないことが多かったのは、ごくありふれた「.EXE」を拡張子としていたからだ。同じ理由で、「.DLL」という拡張子もマルウェアのファイル名によく使われる。

　プレブクスによると、「Trojan.URDVXC」などの自己複製型ワームは、感染してから数秒で、ランダムなファイル名を最大で1,000個生成することができるという。同社が実施したテストでは、このトロイの木馬は、24時間以内に35万個のファイル名を作成するという悪行をやってのけた。

　プレブクスのCEO（最高経営責任者）であるメル・モリス氏は、「GoogleやYahoo！で何もヒットしないファイル名ならば、それはマルウェアではないと考えてよい」としながらも、警戒を緩めてはならないと注意を促す。最強の検索エンジンでも見つけられないマルウェアが出現する可能性は以前よりも高まっているからだ。同氏によると、マルウェア検索のエキスパートでさえ、疑わしいファイルの感染源を特定するのに苦労することが少なくないという。

(ジョン・E．ダン／Techworld オンライン英国版)