［ロシア］
急増するマルウェアの脅威──カスペルスキー・ラボが警鐘

（2006年12月19日）

モスクアに本拠を置くカスペルスキー・ラボの社長を務めるユージン・カスペルスキー氏は、「オンライン犯罪の増加に伴う負担が、セキュリティ企業に重くのしかかっている」と訴える

　現在のマルウェアは、かつて蔓延したマルウェアよりも作りが稚拙であり、今年初頭に登場したものと比べても、質が低下しているのは明らかだ。

　しかし、たとえ質の低いマルウェアであっても、今のように大量に出回ると、セキュリティ企業のリソースを食いつぶすやっかいな存在となる。

　モスクワに本拠を置くカスペルスキー・ラボで上級ウイルス・アナリストを務めるアレクサンダー・ゴステフ氏は、最新の調査報告書の中で、ここ6カ月の間、マルウェアの技術的な創造性はその破壊力とともに失われており、数年前に大流行した「MyDoom」や「Sasser」ほど悪質ではなくなったと報告している。

　実際、カスペルスキー・ラボにおいても、高度な技術を用いたマルウェアは時折確認されることがあるものの、最もよく見られるのは「（一般的な）トロイの木馬やウイルス、ワームのたぐい」であるという。悪意のあるハッカーは多くの場合、既存のマルウェアのコードを活用して、ウイルス対策ソフトウェアの弱点をつく亜種のマルウェアを作り上げる。

　そうしたプロセスが、簡単なテストに利用されることもある。エフセキュアの最高リサーチ責任者、ミコ・ヒッポネン氏は、マルウェアの作者は「Virustotal」などのオンライン・スキャン・ツールを使って、悪質なプログラムの効力を試していると説明する。Virustotalは、新たに記述したコードがウイルス対策ソフトウェアに検知されるかどうかをチェックできるツールである。

　コードが検知されるとわかったときは、マルウェアに若干の修正を施し、再度スキャナーにかけるのである。

　ほとんどのコードはまったく新しいものではないため、ウイルス対策企業に気づかれるまでにさほど時間はかからない。それでも、対策企業がマルウェアの正体を探り出し、新たなシグネチャを作成するまでのわずか数分から数時間で、悪意を持つハッカーは余裕を持ってユーザーのコンピュータにウイルスを感染させることができる。

12時間交代で新しいマルウェアを分析するカスペルスキー・ラボのウイルス・アナリスト

　カスペルスキー・ラボは、ウイルス対策の最前線でマルウェアと戦っている企業の1つである。同研究所の責任者を務めるスタニスラフ・シェブチェンコ氏によると、同研究所のアナリストは2005年1月に2,000件のシグネチャをデータベースに追加したが、2006年11月にはこの数字が5倍に増加し、1万件に達したという。

　ウイルス・アナリストは12時間交代で研究所に詰め、膨大な量のコードがスクロールする複数のモニタを延々とチェックする。一部のマルウェアは自動化ツールで分析可能だが、やはり人間の目が必要なものも少なくない。

　優れたアナリストであれば、5分もあれば平均的なマルウェアを処理できるとシェブチェンコ氏は説明する。もっとも、まれにではあるが、解析が難しい高度なものも見られるという。例えば、自身のバイト・シーケンスを変えてウイルス対策ソフトウェアを混乱させるポリモーフィック型ウイルスなどは、分析に最長で1週間もかかってしまう。

　新たなシグネチャは、カスペルスキーのアンチウイルス・エンジンが使用するデータベースに追加していく。ジュニパーネットワークスやクリアスウィフト、エフセキュアといった有力なセキュリティ・ベンダーが、すでに同エンジンのライセンスを取得している。

　カスペルスキー・ラボの社長を務めるユージン・カスペルスキー氏は、悪質なコードが急増した理由の1つに、マルウェアの作者が罪に問われにくいという実情があると指摘する。警察は国際的な協力捜査態勢を強化するために努力しているものの、実際にマルウェア制作者が罰せられることはめったにない。

　カスペルスキー・ラボの広報担当、ティムール・ツォリエフ氏によれば、同社は、米連邦捜査局（FBI）や旧ソ連国家保安委員会（KGB）の後継機関であるロシア連邦保安庁（FSB）から、何度も情報提供を要請されたという。ただし、庁内の専門組織を補強したFSBは最近はあまり接触してこなくなったと、カスペルスキー氏は説明する。

　さらに同氏は、研究所では違法行為の根源を突き止めることより顧客の保護に注力しているが、オンライン犯罪の増加に伴う負担が、セキュリティ企業に重くのしかかっていることも確かだと述べている。

　「警察当局がオンライン犯罪の捜査に力を注がず、犯罪率が下がらなければ、当然のことながら、あらゆるウイルス対策製品のマルウェア検知率は上昇し続けるだろう」（カスペルスキー氏）