マルウェア検知を逃れる「ポリモーフィック型」が台頭--ウェブルートが報告

國谷武史 (編集部)

2017-06-16 07:00

 エンドポイントセキュリティを手掛けるウェブルートは6月15日、2016年の脅威動向を分析したレポートを発表した。実行形式型マルウェアやPUA(Potentially Unwanted Application=好ましくないとされるアプリケーション)の検出が減少し、セキュリティ製品の検知を逃れる手口が広まっていると指摘した。

 報告書によれば、実行形式型マルウェアとPUAの検出は3年連続で減少しており、2016年は実行形式型マルウェアが2.5%、PUAが2.6%だった。製品技術本部シニアプリセールスエンジニアの中村多希氏は、こうした減少の背景に「ポリモーフィック型」マルウェアの台頭があると解説した。

実行形式型マルウェアやPUA(迷惑アプリ)が減る一方、シグネチャ型検出を逃れるポリモーフィック型が増えているという(出典:ウェブルート)''
実行形式型マルウェアやPUA(迷惑アプリ)が減る一方、シグネチャ型検出を逃れるポリモーフィック型が増えているという(出典:ウェブルート)

 ポリモーフィック型マルウェアは、マルウェアとしての機能を維持しつつも、コードの一部がさまざまに改変されているもの。従来型のウイルス対策ソフトは、マルウェアのパターンを定義化したシグネチャを用いてスキャンする。攻撃者は、パターンにあてはならないようにマルウェアを改変することで、シグネチャによる検出を逃れる狙いがある。

 中村氏によると、同社製品で検出されたマルウェアの96%が、1度しか出現しておらず、攻撃者がポリモーフィックの手法を駆使して"使い捨て"マルウェアを大量生成している恐れがある。高度な知識が無くても手軽にマルウェアを作成できるツールやサービスの普及が、ポリモーフィック型マルウェアの増加につながっているようだ。

 また実行形式型マルウェアの減少については、メールに添付したり、メールのリンク先サイトからをダウンロードさせたりする攻撃をブロックする対策が有効に機能しているとも分析する。

 一方、マルウェアや脆弱性攻撃ツール、フィッシングサイトなどをホストしている悪質なIPアドレスは3300万以上が見つかった。このうち約88%は、同社の脅威リストへの登録が1回のみというアドレスで、ポリモーフィック型マルウェアと同様に、攻撃者がIPアドレスを使い捨てている様子がうかがえる。一方で、リストへの登録と解除が平均18回というアドレスも約1万あり、攻撃使ったIPアドレスを再利用するケースもあるという。

悪質なIPアドレスのホスト国は、米国や日本、ドイツ、英国などで割合が減少し、ベトナムやインド、ウクライナ、ロシアでは増加している(出典:ウェブルート)''
悪質なIPアドレスのホスト国は、米国や日本、ドイツ、英国などで割合が減少し、ベトナムやインド、ウクライナ、ロシアでは増加している(出典:ウェブルート)

 この他に、フィッシングサイトの84%が平均15時間で消滅しており、長いものでは49時間、短いものでは15分というケースが確認された。フィッシングサイトに悪用された企業やブランドは、ITと金融の2つが大半を占め、ITではGoogleやYahoo、Apple、金融ではPayPalやWells Fargoになりすます攻撃が目立ったとしている。

 ポリモーフィック型マルウェアのような"使い捨て型"の攻撃手法に対して、同社では定義ファイルを使わず、世界中の観測網やユーザー、協業ベンダーなどから提供される脅威情報をクラウド基盤で解析し、短時間で判定できるようにしているという。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]