増井技術士事務所 増井技術士事務所

遠隔操作ウイルスの発見はなぜ難しいのか?

遠隔操作ウイルスによる事件

2012年に発生した事件で話題になったのが遠隔操作ウイルスによる犯罪予告の投稿、そしてそれに関連して発生した誤認逮捕です。

遠隔操作と言われると怖いイメージがありますが、実際にどのような状況になるのか、そして感染したことに気付けるか、ということを理解しておく必要があります。

感染に気付けるか?

一言で「遠隔操作」と言われると、画面を支配され、勝手にマウスが動いて…というイメージを抱く人が多いかもしれません。このような動きをすれば、利用者は気づくことができそうです。

Windowsのリモートアシスタンスといった機能を使えば、外部からそのパソコンを操作することが可能になります。例えば、パソコンメーカーのサポートなどで、実際にサポートセンターからインターネット経由で利用者のパソコンに接続して、画面を操作しながら説明することが行われています。これは初心者にとっては便利だと言えます。

リモートアシスタンス

しかし、実際はそんなに目に見えるような形では行われません。イメージとしては、Windows Updateを思い浮かべてみるとよいでしょう。

見えないところで自動的に

Windows Updateでは、利用者が何もしなくても、自動的にMicrosoftのサーバーにアクセスし、更新があればその内容を適用してくれます。

ここで注目したいのは、利用者のパソコンの中には具体的な作業内容に関する記述は存在しないということです。「Microsoftのサーバーにアクセスする」という設定さえあれば、あとはMicrosoftのサーバーに記述されている内容に従って動作するように作られています。

つまり、パソコンに行ってほしい動作を外部のサーバーに記述すれば、そこに接続してきたパソコンを操ることができるわけです。これが今回のウイルスの考え方です。

外部のサーバーに、パソコンに行わせたい動作を記述しておき、ウイルスに感染させたパソコンにはそこにアクセスさせればいいわけです。

遠隔操作ウイルスの動き

ウイルス対策ソフトで防げない?

問題になるのが、ウイルス対策ソフトでは簡単に防げないことです。その理由は、「正常の動作との区別がつきにくいこと」と「特定の利用者にだけ配布されたこと」です。

一つ目は、上記の動作を考えると明らかです。つまり、リモートアシスタンスはWindowsにも標準で搭載されるような機能ですし、Windows Updateも同様で、悪意を持って使わなければ非常に便利な機能です。これらは正常な動作ですので、同じような動作をするからといってウイルスだと判断できません。

もう一つの理由が特定の利用者にだけ配布されたことです。ウイルス対策ソフトはウイルス(検体)を元に、ウイルスかどうかを判断するパターンファイルを作成していますが、そもそもウイルス(検体)が無いと作成できません。対策ソフトのメーカーにウイルスが渡らない限り、対策ソフトを作れないというのが難しいところです。いったん出回れば対策は可能ですが、似たようなソフトを作ることは難しくなく、後手後手に回ることが予想できます。

ウイルスでなくても構わない

さらに、このような動作を行う場合、ウイルスである必要はありません。悪意を持って設置されたサーバーにアクセスさせれば良いだけなので、不正な処理を行わせるサーバーを用意し、そこにアクセスさせれば良い訳です。

変なメールやサイトを見つけた場合は近づかない方がよいでしょう。

メールによる遠隔操作