コンピュータウイルスの現状

コンピュータウイルス

slammerの感染爆発
図1: SQL slammerの発生30分後の感染ホスト数
円の大きさが感染ホスト数の相対的な大きさを示す.
(CAIDA調べ)

コンピュータウイルス(以下,ウイルス)とは, コンピュータに感染し悪質な行動を行うプログラムのことです. ウイルスそのものは以前から存在しており, フローピーなどを媒介としてゆっくりと拡散し,一定の日付になると 個人のPCのデータを消去するような動きをするものがほとんどでした. 当時はコンピュータそのものが,現在のように広く使われているわけで はなかったので,社会問題となることはありませんでした.

しかし,今日ではウイルスが引き起こす被害は無視できるようなものでは無く, 社会問題となっています. 現在では私たちの生活の至る所にコンピュータネットワーク (以下,ネットワーク)が張り巡らされ, これらはインフラといえるほどの重要性を持っています. 最近のコンピュータウイルスの大部分がネットワークを介して感染する機能 を持っているため,その増殖は恐ろしく早く,強力な感染力 もつウイルスは,ごく短時間で世界中に広まってしまいます. これにより,各国の経済に大きな被害がでています.

例えば,2003年の1月に発生した「SQL Slammer」ウイルスは, 図1で示すように, 発生から30分で世界中のPCに感染し,近年で最も大きな被害を出した ウイルスの一つです. これによって以下のような事態が引き起こされ, 同ウイルスによる損害は世界的規模で総額約80億ドル (日本円で約9,600億円)に上るとされています.

また,最近では個人情報を流出させるようなウイルスも氾濫しています. この種のウイルスに感染してしまうと, 個人のPCからオンラインバンクのパスワード等のプライベートな情報が, 知らないうちに悪意ある人間の元へ送られることになります. 実際に国内の銀行をターゲットとしてウイルスも登場するなど, 近年ではウイルスの行動がますます悪質化してきています.

一般的なウイルス検出方法

コンピュータウイルスに対して,防御および削除などの処置を行うためには, まずウイルスを検出する必要があります. 現在最も普及している検出方式はパターンマッチング方式と呼ばれるものです. これはシグネチャあるいは定義ファイルと呼ばれるウイルス固有の情報を集めた ファイルと対象ファイルを照らし合わせ, 対象ファイル中にシグネチャと完全一致した部分が存在する場合にウイルスとして検出するものです.

パターンマッチング方式は検体として入手した実際のウイルスを詳細に解析してから シグネチャを生成するため,誤検出が極めて少ないという特徴があります. それゆえ,ウイルスの拡散速度が速くなかった時代には本方式は非常に有効に働いてきました. しかし,シグネチャが生成可能となるのは,対象となるウイルスが発見された後となるため, 常に対策が後手にまわるという欠点も持っています. 近年では,新種のウイルスは約1時間に1種類のペースで発生し続けており, パターンマッチング方式を用いる限りはウイルスの発生直後に検出をすることはできません.

ウイルス対策において最も重要なことは,未知のウイルスが発生した場合に いかに迅速それらをウイルスであると認識し, 対策をとるかということです. そこで,当研究室では シグネチャに過度に依存しない従来とは異なった方式により 未知のウイルスを検出する方式の確立を目指しています.