コンピュータウイルス －その実態に迫る－ それでは、 「コンピュータウイルス」というタイトルで、 大下が発表致します。 発表者 ： 大下健史.

Presentation on theme: "コンピュータウイルス －その実態に迫る－ それでは、 「コンピュータウイルス」というタイトルで、 大下が発表致します。 発表者 ： 大下健史."— Presentation transcript:

1 コンピュータウイルス －その実態に迫る－ それでは、 「コンピュータウイルス」というタイトルで、 大下が発表致します。 発表者 ： 大下健史

2 背景 普及するネットワーク環境 身近になるウイルス 背景：
　普及するネットワーク環境 　身近になるウイルス 背景： ネットワーク環境が普及し、ネットワーク接続する機会が増えた現在では、その便利さに伴ってコンピュータウイルスの存在がますます身近なものとなってきています。 特に、メールを利用したウイルスが昨年度(2002年度)流行したのは、 皆さんの記憶にも新しいのではないでしょうか。

3 目的 ウイルスの実態を知る われわれができることを検討する 今回の(この)調査の目的は、
　ウイルスの実態を知る 　われわれができることを検討する 今回の(この)調査の目的は、 ウイルスの実態を知ることにより、われわれ(コンピュータを扱う者)が できること、すべきことを検討することです。

4 ウイルスの実態に迫る！ ウイルスとは？ ウイルスの性質・症状 ウイルスの感染方法 ウイルスの検知方法 と、いうことで、まず
　ウイルスとは？ 　ウイルスの性質・症状 　ウイルスの感染方法 　ウイルスの検知方法 と、いうことで、まず ウイルスの実態に迫りたいと思います。 ==================================== まず、 ・ウイルスとは？ 何をもって言うのか、その定義を述べます。 そして、 ウイルスの性質・症状、感染方法を述べます。 また、ウイルス対策ソフトがどのようにして ウイルスを検知しているのかを簡単に紹介したいと思います。

5 ウイルスとは？ 自己伝染機能 潜伏機能 発病機能 いずれかの機能を持った プログラム ウイルスとは、 ・自己伝染機能 ・潜伏機能 ・発病機能
　自己伝染機能 　潜伏機能 　発病機能 　いずれかの機能を持った 　プログラム ウイルスとは、 ・自己伝染機能 ・潜伏機能 ・発病機能 のいずれかの機能を持ったプログラムを言います。 ・自己伝染機能とは、自分のコピーを他のプログラム、 システムに残すプログラム(コード)のことを言います。 ・潜伏機能とは、発病する為の条件を持ったプログラム(コード)です。 例えば時刻が3時などの奇数時刻にウイルスプログラムが実行されるといったプログラム(コード)です。 ・発病機能とは、ファイルを消すなど、感染対象プログラム設計者の意図しない動作をするプログラム(コード)です。 ======================================================= (1) コンピュータウイルス（以下「ウイルス」とする。） 第三者のプログラムやデータベースに対して意図的に何らかの被害を及ぼすように作られたプログラムであり、 次の機能を一つ以上有するもの。 (1)自己伝染機能 (コピー機能) 自らの機能によって他のプログラムに自らをコピー、又はシステム機能を利用して自らを他のシステムにコピーすることにより、 他のシステムに伝染する機能 (2)潜伏機能(特定条件によりプログラム・ウイルスコードの実行(発病)) 発病するための特定時刻、一定時間、処理回数等の条件を記憶させて、発病するまで症状を出さない機能 (3)発病機能 プログラム、データ等のファイルの破壊を行ったり、設計者の意図しない動作をする等の機能

6 ウイルスの性質・症状 メールを開いただけで感染する 情報を持ち出す ネットワークを徘徊する 別のウイルスを産み落とす 自らを暗号化する
　メールを開いただけで感染する 　情報を持ち出す 　ネットワークを徘徊する 　別のウイルスを産み落とす 　自らを暗号化する 　外部アクセスを許す ウイルスの性質・症状には以下の様なものがあります。(型名) ・メールを開いただけで感染するウイルス　(ダイレクトアクション) ・情報を勝手に外部に持ち出す　　　　ウイルス　(トロイの木馬) ・ネットワーク上を徘徊する　　　　　ウイルス　(ワーム) 　　これは、昨年度流行したメールを利用したウイルスが代表されます。 そして、 ・別のウイルスを産み落とす　　　　　ウイルス　(ウイルスドロッパー) ・自らのプログラムコードを暗号化し、ウイルススキャンの目をごまかす　ウイルス　(ミューテーション) ・ウイルス製作者が外部アクセスができるようにしてしまう　ウイルス　(バックドア) (・潜伏する・姿を消す？ウイルス(ステルス)) この他にもいくつかの性質・分類がありますが、ここでは代表的な性質のみ紹介し、その他には触れないことにします。

7 ウイルスの感染方法 ファイルの実行 セキュリティホール アプリケーションのマクロ アプリケーションのバグ
　ファイルの実行 　セキュリティホール 　アプリケーションのバグ 　アプリケーションのマクロ では、ウイルスはどの様にして感染をしていくのでしょうか？ コンピュータウイルスが感染する方法には、以下のようなものがあります。 まず、 ・ファイルの実行 これは、昨年度流行ったメールに添付されたウイルスの感染方法に 代表されます。 次に、 ・セキュリティホール です。 これには、アプリケーションのバグも含まれています。 実際に、 ・バッファオーバーラン ・Internet Explorer のバグ などを利用したウイルスの感染方法が 存在しています。 また、Word, Excel などのアプリケーションのマクロを 利用して感染を広げるマクロウイルスというものも存在しています。 一般に多く使用されているアプリケーションがターゲット

8 ウイルスの検知方法 シグニチャ・スキャン ウイルス定義ファイル を用いたプログラムコードとのパターンマッチング
　シグニチャ・スキャン ウイルス定義ファイル を用いたプログラムコードとのパターンマッチング さて、ウイルスはプログラムであることを先に述べましたが、 疑問になるのは、ウイルス対策ソフトが、どのようにしてウイルスと普通の悪意の無いプログラムとを区別しているのかということです。 多くのウイルス対策ソフトが利用している技術に ・ウイルス定義ファイル を用いたパターンマッチングがあります。

9 ウイルス定義ファイル シグニチャ(ウイルスの指紋) 各ウイルス固有のプログラム コード 連続した16進数のバイト列
　各ウイルス固有のプログラム　コード 　連続した16進数のバイト列 　と各ウイルスとの対応をデータベースとしてもつファイル Norton Anti Virus が週に1回ほど行っているウイルス定義ファイルの更新しているのでご存知の方もあるかと思いますが、 ウイルス定義ファイルとは、 ・シグニチャ や ・ウイルスの指紋 と呼ばれる ・各ウイルス(KLEZ等の)プログラム固有のコードであり、 ・連続した16進数のバイト列 と各ウイルスとの対応をデータベース化したファイルを言います。 この定義(データベース)ファイルのコード(バイト列)と 検査対象のコードとのパターンマッチングを行うことにより、 検査対象のプログラム(ファイル)がウイルスであるかどうかを 判定しています。 この方法は、警察官が指紋照合を用いて犯人を割り出すことに例えられます。つまり、犯行履歴があれば検出率は高いのですが、 犯行履歴が無い犯人・未知のウイルスを見つけ出すことはできないという欠点を持つのです。

10 その他の検知方法は？ ヒューリスティック・スキャン プログラムの動作を記録し、その 動作からウイルスかどうかを推論 スタティック方式
　ヒューリスティック・スキャン スタティック方式 ダイナミック方式 　プログラムの動作を記録し、その 動作からウイルスかどうかを推論 では、その指紋照合・パターンマッチング以外にウイルスの検知方法は無いのでしょうか？ 実は、(シマンティック社のNorton AntiVirus に利用されている) 人工知能技術を用いて対象プログラムがウイルスかどうかを推論する ・ヒューリスティック・スキャン という技術があります。 これは、対象プログラムの動作(ファイルのオープン、プログラムの終了など)を記録し、その動作がウイルスかどうかを推論する技術(方法)です。 この技術は(大きくわけて) ・スタティック ・ダイナミック の2つがありますが、どちらも未知のウイルスの検知が可能です。 では、どのようにして未知のウイルスであると 判定しているのでしょうか？ 「Heuristic(ヒューリスティック)：発見的な」

11 ヒューリスティック・スキャン 動作カタログ 方式の違い (動作抽出の方法) スタティック方式 ダイナミック方式 検査対象のプログラムコード
方式の違い　(動作抽出の方法) 　スタティック方式 　検査対象のプログラムコード 　ダイナミック方式 　検査対象のプログラムのエミュレート スタティック方式とダイナミック方式との違いは プログラムの各動作の抽出方法が異なります。 スタティック方式は、プログラムのコードから動作を抽出し、 ダイナミック方式は、プログラムを仮想コンピュータ上でエミュレーションをして動作を抽出します。 抽出した動作の集まりを動作カタログといいます。 ヒューリスティック・スキャンでは、動作カタログを生成し、 検査対象のプログラムの動作カタログが、ウイルスの動作かどうかを判定します。 例えば、動作カタログが ・ファイルのオープン ・自身(プログラムコード)のコピー ・自身(プログラムコード)の終了 である場合、検査対象のプログラムをウイルスプログラムであると判断します。 動作カタログ

12 検知方法の欠点 シグニチャ・スキャン ヒューリスティック・スキャン スタティック方式 ダイナミック方式 未知ウイルスの検知ができない
　 シグニチャ・スキャン 　ヒューリスティック・スキャン 　スタティック方式 　ダイナミック方式 未知ウイルスの検知ができない 検知率が悪い ヒューリスティック・スキャンを含め検知方法には、問題点があります パターンマッチングの検知方法は、既存のウイルスの検知は100％であるが、 ・未知のウイルスの検知ができない という欠点があります。 また、 未知のウイルスの検知が可能であるヒューリスティック・スキャンでは、 スタティックでは、 ・検知率が悪い という欠点があり、 ダイナミックでは、検知率が高いものの、 ・処理速度が遅い ・発病条件の違いに対応できない などの欠点を抱えています。 処理速度が遅い 特別条件の発病を検知できない

13 現状 新種ウイルスの誕生が絶えない 完璧なセキュリティでも感染する では、どうすれば？ また、
　新種ウイルスの誕生が絶えない 　完璧なセキュリティでも感染する また、 新しい(種類の)ウイルスが時間とともに誕生し、完璧だと思われるセキュリティ上でもウイルスの感染が行われるというのが 現状です。 では、どうすれば？

14 対策 怪しいファイルを実行しない 検知率の高いウイルス対策ソフトを使用する ウイルス定義ファイルを更新する 高い確率での早期発見
　怪しいファイルを実行しない 　検知率の高いウイルス対策ソフトを使用する 高い確率での早期発見 対策は、 例え好奇心に駆られても、 ・怪しいファイルを実行しない また、ウイルスメールの送信者(特に知人)にウイルス付きのメールが送られてきたと伝えることも重要なこととなっています。 そして、 ・ウイルス対策ソフトを利用する ことにより、ウイルスの検知と駆除を行うこと。 ・ウイルス定義ファイルを定期的に更新する ことによって、ウイルス対策ソフトにとっての未知のウイルスを 減少させることです。 　ウイルス定義ファイルを更新する ウイルス対策ソフトにとっての未知ウイルスを減少

15 開発者ができること セキュリティホールとなるバグを知る セキュリティホールとなるバグを作らない 例：バッファオーバーラン
　セキュリティホールとなるバグを知る 　例：バッファオーバーラン 　セキュリティホールとなるバグを作らない 分が作成するアプリケーションが、将来、ウイルス感染のターゲットにならないとは言えません。 開発者ができることは、どういうプログラムコードがセキュリティホールとなるバグを生み出すのかを知り、 セキュリティホールを作らないことだと考えています。

16 結論 ウイルス対策を行い、 自分がウイルス感染の 被害者・加害者にならない。
　自分がウイルス感染の 　　被害者・加害者にならない。 そこで、私が出した結論であり、一般にも広まっている結論としましては、 ウイルス対策を行い、 自分がウイルス感染の加害者にならないようにする ということです。

17 終わり 以上で、発表を終わります。

18 Bloodhound ハイブリット ヒューリスティック・スキャンの欠点解消 スタティック方式 ダイナミック方式
　ハイブリット 　スタティック方式 　ダイナミック方式 検知方法の欠点を解消するために、 Symantec 社のBloodhound という技術があります。 未知のウイルスの検知率が80％ また、マクロウイルスに対応した、 Bloodhound-macro という技術では、 マクロウイルスの検知率が90％ どちらの技術も、Norton AntiVirus の全製品に組み込まれているそうです。 ヒューリスティック・スキャンの欠点解消

19 ウイルスの駆除 ウイルスコード を削除すること ウイルスを形成するプログラムのコード 16進数のバイト列 ウイルスの駆除とは、
　ウイルスコード 　ウイルスを形成するプログラムのコード 　16進数のバイト列 を削除すること ウイルスの駆除とは、 ウイルスコードと呼ばれる ウイルスを形成するプログラムコード・16進数のバイト列 を削除することです。