DNAでマルウェアを撃退する – Defeating Malware With Its Own DNA

人間のDNAの証拠が刑事司法制度に大きな影響を与えていることは広く知られています。今や別の種類のDNAが、悪質なソフトウェアを根絶するための戦いにおいて同様の影響を与える可能性があります。

マルウェアDNAは「マルウェアのProvenance(起源、出所)」とも呼ばれ、あるオブジェクトの要素を別のオブジェクトに帰属させる技術と科学です。この手法は、情報セキュリティ以外のアプリケーション(例えば、遺伝学)や学生論文の原作者をテストする際に利用されることがあります。

マルウェア作成者がプログラムの検出を回避する1つの方法は、多様性攻撃を実施することです。彼らは、コードを動的に変更して、ウイルス対策プログラムを混乱させようとします。 Provenanceは、プログラム内の類似コードの量、またはその “DNA”を特定することによって、その方法に対抗します。

すべてのマルウェア変異形は、元のマルウェアファミリにいたるまで、先祖から受け継いだ不変部分を持っています。たとえば、CryptoWall 3.0はCryptoWallとそれらの先祖のCryptoDefenseと同じゲノムを共有します。

解析技術は非常に正確であるだけでなく、非常に高速です。これは、機械語の速度でマルウェアを識別し、ゼロデイ・マルウェア、つまり、これまでに見られなかった悪質なプログラムを検出することさえできます。

バンドエイドのスタック

今まで、マルウェアと戦う人たちはマルウェアの流入を阻止するために格闘してきた、とRomad Cyber SystemsのCEO、イゴール・ヴォロビッチ氏は述べています。

「私たちはバンドエイドの束を持っている」と彼はTechNewsWorldに語った。 「私たちはますます多くの包帯を追加し続けており、しばらくは出血を止めていますが、決して根本的な原因を解決することはありません」

何年もの情報セキュリティは感染予防に焦点を絞っていますが、今日の脅威環境では不十分であることが証明されています。

「対応しなければならない」とヴォロビッチ氏は語った。これは脅威ハンティングのようなもので、マルウェアがあなたのネットワーク内で過ごす滞留時間を現在の平均266日から数日または数時間に短縮しようとしています。」

サイバー防衛における次の進化は、攻撃者が自分のやることをやり遂げる能力を崩壊させることであり、世界的に、かつ一貫してそれを行うことになると彼は説明しました。
「残念なことに、これらすべての年にわたって業界が提供してきたソリューションのどれも、意味のある方法でこれを実現することはできませんでした。」

マルウェアを撲滅する

Provenance(起源)を利用することで、状況が大きく変わる可能性があり、それによって、ゼロデイマルウェア(それ以前にセキュリティ研究者がまだ発見していないマルウェア)さえも、止めることが可能となります。

ラファイエットのルイジアナ大学のコンピュータ科学教授であるArun Lakhotia氏は、「実際には、全てのゼロデイマルウェアはこれまでに見られたマルウェアの異形です。」と述べました。

「それらはほとんどが新しいマルウェア・コードではなく、以前のマルウェアの変形バージョンです」と同氏はTechNewsWorldに語った。 「新しいソフトウェアの作成には時間とコストがかかるため、マルウェアの作成者は毎日新しいソフトウェアを作成しないため、ほとんどのマルウェアは以前のバージョンの変種です」

それが遺伝が絵になる場所です。各変異形は親に対する子のようなものです。父親が生物学的DNAで特定できるように、マルウェアの父親をコーディングDNAで特定することもできます。

新しいマルウェアコードを書くのは費用がかかるため、悪意のあるコードを自由に再利用することができなくなると、犯罪者にはお金の面で打撃を与えることができるようになる。

「刑務所に投獄しなくても、経済的な部分で追い詰めていけば、われわれが知っているようにマルウェアを撲滅することができる」とヴォロビッチ氏は語りました。

参照:

http://www.technewsworld.com/story/84079.html