「そこに金があるからだ」――。トレンドマイクロの最高技術責任者(CTO)のRaimund Genes氏は、現在のマルウェア作成者の狙いが以前のような自己顕示を目的にする“愉快犯”ではなく、経済的利益、つまり金銭目的にあると説明している。
トレンドマイクロは7月上旬にイベント「DIRECTION 2010」を開催。同イベントでは「セキュリティ製品に求められる真の実力とは? 〜セキュリティ製品のテスト手法はどうあるべきか〜」と題するパネルディスカッションが行われた。パネルディスカッションに先だってGenes氏は「セキュリティソフトのテスト手法」というテーマで講演している。その講演の中でGenes氏は、マルウェア作成の目的が大きく様変わりしていると説明している。
トレンドマイクロCTOのRaimund Genes氏
同氏によれば、以前マルウェアは個人により作成され、その多くは自己顕示が目的で営利目的ではなかったという。この時のプロファイリングでは14歳から34歳の彼女のいない男性で、コンピュータ中毒者という“作者像”だったという。
しかし現在では、マルウェアの作成はアンダーグラウンドでのコラボレーションが主流となっており、ボットネットベンダーやハッカー、不正プログラムベンダーからの依頼で“独立したビジネスマン”たる作者がマルウェアを作成し、クレジットカードの不正利用者やスパム業者、恐喝者などに引き渡されるなど、分業化が進んでいるという。
アンダーグラウンドのコラボレーションには「アンチ・ディテクションベンダー」も参加。彼らは、作成されたマルウェアが22種類のウイルス対策ソフトで検出されるかどうか、その有効性をサイト上でチェックできるようにしているという。彼らアンチ・ディテクションベンダーは、1ファイル1ドルあるいは月額40ドルの検査料でサービスを提供しており、その検出精度や機密保持に注力していることをアピールしているという。
Genes氏は、ボット「ZeuS」の亜種の総数推移を示し、2009年11月に約4000、12月には約6000、ピークとなった2010年1月には13000以上を記録したと説明。2月に減少したとはいえ、約1万の亜種が確認されている。この裏には東欧の犯罪組織の存在があると説明する。その証拠にZeuSをホスティングしている主要ドメインはロシアとウクライナに多く存在しているという。
このようにシステム化された現在のマルウェアマーケットについて、Genes氏は冒頭にあるように、過去の有名な銀行強盗の言葉を引用し「そこに金があるからだ」とマルウェア作成の狙いが金銭目的にあることを明らかにしている。そして、同氏は企業などがこれら不正プログラムから身を守るためには「エンドポイントにたどり着く前に不正プログラムをブロック」「エンドポイントで不正プログラムが実行されるのを阻止」「不正プログラムの実行時に不正を行うのを阻止」「脆弱性が悪用されるのを阻止」という4つが必要であるとした。
しかし、セキュリティソフトのテストに関して、従来のテストでは「エンドポイントで不正プログラムが実行されるのを阻止」の1点のみしか考慮されていないとGenes氏は言う。しかも従来のテスト手法には一貫性がなく、ユーザーに対して価値のない無秩序な状況になっているという。この現状に対し、独立テスト機関は新しい動きを始めており、それは新しいテスト手法の採用や、実際の安全性をより良く評価するための新しい評価基準の試みとしている。
その上でGenes氏は、今後求められていくテスト手法として「検出ではなく防御を評価」「リアルタイムあるいはダイナミックなテストを行う」「決定論的でなく統計学的な再現性」「広範かつさまざまな意義のある脅威サンプルの使用」「対応速度などベンダーの対応も評価すること」が重要原則であるとGenes氏はまとめた。
