トレンドマイクロは、ウイルス技術について都内で説明会を行なった。トレンドマイクロのウイルス研究を行なうTrendlabs Japanのアンチウイルスセンター課長の関口一氏とウイルス解析担当の岡本勝之氏が説明にあたった。

　現在のウイルスはセキュリティホールをねらうタイプが多く、幸いなことに修正パッチが登場した後にウイルスが登場する状況が続いている。修正プログラムの公開とともにパッチを当てていれば、ウイルスの被害は免れる。しかし、セキュリティホールが発見され、修正プログラムの公開前にウイルスが登場すると被害は甚大だと指摘する。

　今後、ウイルス作成者に悪用される可能性が考えられる技術として、マイクロソフトの「Microsoft.NET」を挙げた。すでに「PE_DOUNT.A」は「.NET」の開発プラットフォームで提供されるプログラム言語「C#」で書かれたプログラムに感染するウイルスとして出現している。

　さらに、「.NET」やXMLベースのWebサービスは分かりやすく開発も容易のため、ウイルス作成者に悪用される可能性が高いという。MSIL（Microsoft Intermediate Language）にしても悪用の可能性がある。

　また、Shockwave Flashに感染するウイルスや、ICQなどのチャットプログラムを利用するウイルス、PDAに感染するウイルスなども出現している。ウイルス感染メールはいままで英語だったが、日本語のタイトルのついたウイルス付きメールの出現など、プラットフォームから言語まで、多岐にわたっているという。

復活を検討している技術「FileTrap」

　これらに対するトレンドマイクロのウイルス検出技術は、パターンマッチングとルールベースの2つの方式で対応する。

　パターンマッチングは文字どおり、ウイルスの特徴とプログラムコードを照合し検知する。通常はこれによって、既知のウイルスを発見する。未知のウイルスについては、ルールベース方式で対応する。未知といっても、まったくの未知のウイルスまで検知できるのではなく、主に変種・亜種のウイルスの発見に対応するという。

　ルールベース方式は現在、マクロ、スクリプト、ディスクのシステム領域について監視している。Windowsが普及する以前、DOSの時代にはオープンされたファイルを監視する「FileTrap」、メモリへの常駐を監視する「MemoryTrap」を行なっていたが、現在はパフォーマンスの関係で使用していない。トレンドマイクロでは今後、変種・亜種の対応のため、「FileTrap」「MemoryTrap」を復活させることも検討し、さらに、実行型ファイルの行動を監視する方法も検討しているという。

□トレンドマイクロ
http://www.trendmicro.co.jp/

（正田拓也）
2002/04/05 19:33