トレンドマイクロ、ファイルを利用しない不正プログラムを確認
今日セキュリティ対策製品の不正ファイルのスキャン技術の向上で不正ファイルが検出されやすくなったことから、2014年8月にファイルを利用しない不正プログラムのPOWELIKSが確認された。POWELIKSはレジストリ内に不正なコードを追加してスキャンや検出されない場所に自身の不正活動を隠ぺいする。この手法が成功したことにより、他の犯罪者もファイルを利用しない感染手法を利用するようになった。ここでは他の不正プログラムを紹介している。
ここで紹介されている不正プログラムの一つがPhasebotで、不正なツールを販売するサイトで販売が確認された。このPhasebotはルートキット機能を追加し、ファイルを利用せずに実行する機能を備える。この不正プログラムは2013年後半頃確認されているSolarbotという古いボットと同じ機能を備えているが、Phasebotでは仮想マシンの検出やモジュールを外部から読み込む機能が追加されたSolabotの新バージョンで、感染したPC上で不正プログラムが機能追加や削除が可能になり、隠ぺい機能や検出回避機能に重点が置かれている。Phasebotは .NET Framework バージョン 3.5とWindows PowerShellが感染PC上にインストールされているかを確認するよう設計されている。Windows PowerShellはWindows 7 以降のOSに標準インストールされており、PhasebotはWindows PowerShellを利用してセキュリティ対策製品の検出を回避している。今後多くのユーザがWindows 7以降のPCを利用することで、より多くのユーザが被害者になる可能性が高い。
同社は、今後より多くの犯罪者がファイルを利用しない不正プログラムの概念を導入し、Windowsレジストリ以外の手法が利用されると推測している。通常不審なファイルやフォルダから感染源を探すが、ファイルを利用しない不正プログラムでは検出が難しく、削除が困難になるため今後の課題となる。このようなプログラムの感染回避のためにもメールやファイルの開封、URLのリンクへのアクセスなどクリック前に安全性を十分に確認するよう呼びかけている。
