叡智の三猿

三猿×情報セキュリティ×はてな で発信します。

迫るマイノリティ・リポートの世界

マルウエアの種類

セキュリティ対策にて「マルウエアの検知」は重要です。その為、既知のマルウエアはもちろんのこと、未知のマルウエアを予測する技術が研究されています。

マルウエアとは不正かつ有害に動作させる意図で作成された悪意のあるソフトウェアや悪質なコードの総称です。その種類には「ウイルス」「ワーム」「トロイの木馬などがあります。

ウイルス

ウイルスは、自らを複製して、他のプログラムやデータファイルのコードに侵入して感染する、寄生型のプログラムです。プログラムやデータファイルが実行されると、ウイルスも動作します。

こうした感染、増殖、発症の動きが人間界のウイルスに似ていることから、コンピュータウイルスと名づけられました。
f:id:slowtrain2013:20200618165429p:plain:w300

ワーム

ワームは、ウイルスのように他のプログラムに寄生せずに自立して存在し、ネットワークを経由して自身を複製しながら自己拡散するマルウエアです。増殖して感染を広げる点は、ウイルスと共通する特徴です。

語源は「蠕虫(ぜんちゅう)」です。ネットワーク内をミミズ、芋虫、サナダムシのごとく這い回るイメージから付けられました。
f:id:slowtrain2013:20200618164903p:plain:w300

トロイの木馬

トロイの木馬は、独立した不正なプログラムで、増殖をしないマルウエアです。利用者からは、ゲームソフトや便利なツールのソフトのように見え、実際に正しい機能を提供しながら攻撃活動を行うものがあり、感染に気付かずに長く使い続けてしまうこともあります。

ギリシア神話トロイア戦争で、敵に気付かれないように兵士を侵入させるために使った「トロイの木馬」が語源です。
f:id:slowtrain2013:20200618165612p:plain:w300

トロイア戦争について以下のブログにも書いてます。
www.three-wise-monkeys.com

マルウエアの検知法

従来から行われているマルウエアの検知手法は「パターンマッチング法」です。これはマルウエアの構造(ソースコード)に着目して検出する方法です。マルウエアの特徴的なコード情報を登録したパターンと、検査対象の情報を比較してマルウエアを検知します。すでに発見済みのマルウエアであれば高い確度で検知することができます。一方、未知のマルウエアはパターンとして登録がされていないことから検知がされません。

この「パターンマッチング法」の欠点を補う目的で研究されたのが「ビヘイビア法」です。ビヘイビア法はマルウエアの構造ではなく、特有の動作を観察します。

マルウェアの特徴的な動作としては「ファイルへの仕掛け」「重要情報の窃取」「PCの悪用」があります。

  • ファイルへの仕掛け:ファイルを消す、書き換える、外に流出させるなど
  • 重要情報の窃取:クレジットカード情報、クラウドサービスのログイン情報、連絡先情報、ID・パスワード情報、顧客情報など
  • PCの悪用:遠隔操作によるPCからのメール送信、外部サイトへの攻撃など

「ビヘイビア法」は、未知のマルウエアであっても、不正な動作を見つけて検出が可能です。また、ひとつのウイルスから作られた「亜種」場合、「パターンマッチング法」は、構造(ソースコード)に着目をしていることから、パターンが異なると検出が出来ないのに対して「ビヘイビア法」では検出が可能です。

ただ、マルウェアは様々な活動を行うため,全てのマルウェアを網羅的に検出できるような動作を定義することが難しいという課題があります。この課題に対して機械学習が有効です。

動作定義にシステムコールの発行履歴を機械学習させます。そしてマルウェアに特徴的な振る舞いを検出します。

f:id:slowtrain2013:20200506110352p:plain:w400
パターンマッチング法とビヘイビア法

マイノリティ・リポートの世界は現実に!?

いつの日か、機械学習とAIにより、不正行為を事前に予測することができるようになるかもしれません。

AIにさまざまな「犯行の特性」を事前学習させます。そして監視カメラとAIをつなげます。そうすると監視カメラの捉えた画像データが「犯行の特性」と合致したら「犯行」を予測します。これでちょっとした覗き見ショルダーハックも見逃さないセキュリティ監視が実現できるかもしれません。

f:id:slowtrain2013:20200505221016p:plain:w400
AIによる犯行予測
犯罪予知により未然に逮捕することで、犯罪が90%減少する社会を描いたスティーブン・スピルバーグの映画「マイノリティ・リポート」の世界です。

この映画が公開されたのは2002年です。はじめて、この映画を観たときは、リアリティを感じなかったのですが、だんだんこの映画の世界になる気がします。

スピルバーグは時代を先どりし過ぎたのかもしれませんね。
youtu.be
サイバー犯罪やウイルスの脅威・・・安全が脅かされる現代社会は、強固な監視社会を構築するしか道はないのでしょうか!?

COCOA

さて、日本政府はCOCOAという新型コロナウイルスの感染者と濃厚接触した可能性を知らせるアプリを運用開始します。

本日(19日)午後3時に配信開始です。カウントダウンです!!
https://www.mhlw.go.jp/content/10900000/000641521.pdf
このアプリは、個人情報(氏名・電話番号・メールアドレスなど)の収集はしないようです。また、行政機関や第三者接触の記録や個人の情報を利用し、収集することもないとのことです。

アプリの性格上、多くの方がインストールをしないと、効果は発揮しないです。

感染対策に有効なツールだろうと思います。ただ、なんだか安全を確保するための息苦しさを手に入れているようにも思えます。

  • 追記:「COCOA」をダウンロードするには、iOS13.5にバージョンアップする必要があるようですが、わたしが持っているiPhone 6はサポート対象外でした〜...(((;^^)