ポリモーフィック型ウイルスとは?
ポリモーフィック型ウイルスは、メタモーフィックウイルスとも呼ばれ、新しい暗号化解除ルーチンを使用して、その外観やシグネチャファイルを繰り返し変更するようにプログラムされているマルウェアの一種です。これにより、アンチウイルスソリューションやマルウェア対策ソリューションなど、シグネチャベースの検知に依存する多くの従来のサイバーセキュリティツールが脅威の認識とブロックに失敗します。
専門家からのヒント
ポリモーフィック型ウイルスはどのように進化しますか?
ファイル名の変更 | 圧縮 | 暗号化
ポリモーフィック型ウイルスはどのくらいの頻度で進化しますか?
約10分おきです。
ポリモーフィック型ウイルスはどれくらい蔓延していますか?
ほぼすべてのマルウェア攻撃に、何らかの形式のポリモーフィック手法が含まれています。
ポリモーフィック型ウイルスはどのように機能しますか?
ポリモーフィック攻撃は通常、次のようなプロセスに従います。
- サイバー犯罪者は、暗号化によって悪意のあるコードを隠すことで、ほとんどの従来のセキュリティツールを回避できるようにします。
- ウイルスはエンドポイントにインストールされ、感染したファイルがダウンロードされ、暗号化が解除されます。
- ダウンロードされると、ミューテーションエンジンが、ウイルスに添付された新しい暗号化解除ルーチンを作成します。これにより、以前のバージョンのコンピューターウイルスが検出されてブロックリストに登録されていたとしても、異なるファイルのように見えるため、セキュリティツールでは認識できません。
ポリモーフィック型ウイルスは、ファイル名、サイズ、場所の点で進化する可能性がありますが、マルウェアの機能、操作、および目標は同じです。たとえば、ポリモーフィックな特性を持つトロイの木馬は、ファイルのシグネチャが変更されたとしても、常にトロイの木馬として機能します。
ポリモーフィック型ウイルスの例
ポリモーフィック型ウイルスは、既存のアンチウイルススキャナーの限界を実証するための研究プログラムの一環として1990年代に最初に登場しました。1260(またはV2PX)と呼ばれる最初のウイルスは、インターネットユーザーへの警告として機能していましたが、誤ってウイルスの機能を基にした犯罪活動の波を引き起こしました。その後の数十年で、数えきれないほどのポリモーフィック型ウイルスが出現し、現在では、ほぼすべてのマルウェア感染が何らかの形のポリモーフィズムを採用しています。
最もよく知らているポリモーフィック型ウイルスやマルウェアの例として次のものがあります。
- ストームワーム: マルチレイヤー攻撃であるThe Storm Wormは、ソーシャルエンジニアリング技術を使用し、ユーザーをだましてトロイの木馬をダウンロードさせ、トロイの木馬がコンピューターに感染し、ターゲットのシステムをボットに変えました。この攻撃は100万以上のエンドポイントに感染し、一度に数十万人のユーザーへのインターネットサービスを中断させました。
- VirLock:ポリモーフィック型ランサムウェアの最初の例と見なされているVirLockは、共有アプリケーションとクラウドストレージを介して拡散するマルウェア攻撃でした。これは典型的なランサムウェアとして動作し、要求した金額が支払われるまで、被害者のエンドポイントへのアクセスを制限し、ファイルを変更します。
- Beebone:Beeboneは、高度なポリモーフィック型マルウェア攻撃であり、ランサムウェアやスパイウェアを通じて銀行業務を妨害することを目的として、世界中の何千ものコンピューターを支配してボットネットを形成しました。
ポリモーフィック型ウイルスはサイバーセキュリティの世界では一般的な用語ですが、すべてのポリモーフィック型攻撃がウイルスであるわけではありません。トロイの木馬、キーロガー、ボットなどのマルウェアを利用しているものもあれば、ミューテーションエンジンを備えたスパイウェアやランサムウェアを利用するものもあります。技術的に言えば、これらの攻撃にはポリモーフィック型マルウェアまたはメタモーフィック型マルウェアが含まれます。
ポリモーフィック型ウイルスを検出する方法
ポリモーフィック型ウイルス(またはポリモーフィック手法を含むあらゆる種類のマルウェア)は、高度なミューテーション機能があるため、従来の脅威検出方法では検出が困難な場合があります。
簡単に言うと、従来のアンチウイルスソフトウェアまたはマルウェア対策ソフトウェアは、ファイル内のコードのシーケンスであるシグネチャまたはヒューリスティックを探します。これらのツールは再暗号化された脅威を認識できません。これは、ブロックリストに追加されている既知のポリモーフィック型ウイルスによって、同じネットワーク上の別のエンドポイントが以前に感染している場合でも当てはまります。
ポリモーフィック型ウイルスを検出するには、組織がシグネチャレスマルウェアからの保護を可能にする高度なサイバーセキュリティツールを採用する必要があります。
シグネチャレスマルウェアからの保護では、機械学習(ML)アルゴリズムを使用して、全体像を分析し、分析されたファイルからいわゆる「特徴」を抽出することにより、ファイルに悪意がある可能性を判断します。これらは、ファイルの構造を数値で表す高レベルの特長です。たとえば、MLモデルでは、ファイル、画像、アイコン、ユーザーインターフェーステンプレート、文字列テーブルなどのさまざまな領域のランダムさを確認できます。このツールは、コードを数値形式で分離して記述し、機械学習分類機能に入力することもできます。
ポリモーフィック型ウイルスから組織を保護する最も効果的な方法の1つは、ファイルレス攻撃やシグネチャレス攻撃などの既知の脅威や未知の脅威からの保護、マルウェアフリー攻撃の防止、脅威インテリジェンスツールとの統合などを含む、堅牢な次世代アンチウイルスソリューション(NGAV)を実装することです。
ポリモーフィック型ウイルスを防ぐためのベストプラクティス
ポリモーフィック型ウイルス攻撃の大部分は、ユーザーレベルでの侵害から始まります。このため、すべてのインターネットユーザーが攻撃の兆候を警戒し、責任ある行動をとることが重要です。
次にいくつかの一般的なヒントを示します。
- 常に信頼性の高い次世代アンチウイルスソフトウェア(できればクラウドネイティブのセキュリティソリューション)をインストールし、定期的に更新されていることを確認します。
- オペレーティングシステムとアプリケーションを最新の状態に保ちます。
- ポップアップブロッカーを使用するか、ポップアップ広告をクリックしないようにします。
- 未確認の送信者からの迷惑メールや不審なメールの添付ファイルは絶対に開かないようにします。
- セキュアでないWi-Fi接続を絶対に使用しないようにします。
- HTTPSで始まるリンクにのみアクセスします。
- フリーソフトウェアには注意し、利用規約を注意深く読んでください。
- スマートフォンの画面をロックします。
- すべてのデバイスで強力なパスワードを使用します。
- すべてのデバイスとアプリケーションで多要素認証を有効にします。
- インストール時にアプリに付与するすべての権限を慎重に確認します。
- ウェブサイトのクッキーへの同意に注意します。
古くなったアンチウイルスソリューションの交換
CrowdStrike Falcon® Prevent™は、防御のための新しい標準装備です。マルウェア、エクスプロイト、マルウェアフリーの侵入、その他の持続的標的型攻撃(APT攻撃)に対して優れた保護を提供します。試行された攻撃が、前例のないようなレベルで読みやすいプロセスツリーとして組織内で可視化され、エンドポイントで起きている出来事と効果的に修復する方法を理解するために必要な詳細とコンテキストが示されます。
CrowdStrike Falcon® Preventは、次のような最先端の保護を可能にします。
- 機械学習と人工知能により既知のおよび未知のマルウェアとランサムウェアを検知
- 振る舞いベースの攻撃の痕跡(IOA)によって、巧妙なファイルレスやマルウェアフリー攻撃を検知
- エクスプロイトブロックにより、パッチ未適用の脆弱性を悪用して実行および拡散するランサムウェアをブロック
- 悪意のあるファイルがホスト上に最初に出現したときに、書き込みを停止を検出して隔離し、分離する機能
- CrowdStrike Security Cloudに組み込まれている業界をリードする脅威インテリジェンスが悪意のあるアクティビティを効果的にブロック
- 悪意ある活動を阻止した後の既知のアーティファクトを自動IOA修復クリーンアップ
クラウドストライクの次世代AVソリューションが優れた保護を提供し、侵害の防止をサポートする方法については、以下の動画をご覧ください。
