脅威の研究

マルウェアと脆弱性はどのようにして名前が付けられるか

Jiří Sejtko, 2016年11月25日

Cryptolocker とか Heartbleed といった名前がどこから来たか、そしてその理由は何か、不思議に思ったことが誰にでもあるのではないでしょうか。また、名前はすべてのウイルスと脆弱性に付けられるのでしょうか?

個別のマルウェアのほとんどは、特別な名前は付けられません。この点では、マルウェアは星のようなものです (お金を払ってマルウェアに名前を付けるオプションがユーザーに提供されないことを除いて)。数があまりにも多いため、それぞれに固有の名前を付けるのはほぼ不可能なのです。マルウェア検体の大多数は、Banker や Downloader などのように、その機能に基づいて名前が付けられます。または、エージェントやマルウェアなどという、まったくの一般名で呼ばれることもあります。

次に、より大きな枠組みであるマルウェアの型というものがあり、これに付けられる名前は脅威インテリジェンスと広報の両方の視点からみてうなずけるものです。これは、マルウェアの型に苗字を付けるようなものだと考えてよいでしょう。近頃のマルウェアは急速に進化するため、研究者は基本的に、今後の調査のために検体を集めて一団にし、その活動を追跡します。これらの名前は通常、わずかに改変したコマンド アンド コントロール (C&C) ドメイン、制作者の名前、または検体の機能など、その検体について私たちが知り得ている情報に基づきます。

また、一般の人々に大きな影響を及ぼし、報道機関の注目を集めると考えられる場合、研究者はマルウェアの型と脆弱性に特殊な名前も使用します。

場合によっては、マルウェアの制作者が自分でマルウェアに名前を付けます。Petya と Mischa はペアのランサムウェアですが、制作者である Janus によってダークネットで大々的に販売されていますJanus は Petya と Mischa のロゴさえ作成しています。

Heartbleed は特に興味深いものです。これは非常に大きなセキュリティ脆弱性で、攻撃者はサーバーのメモリを読み取り、証明書などを漏洩させることができます。攻撃者は精巧な心拍の信号をサーバーに送信します。この信号は「私が送信するデータをそのまま繰り返しなさい」というようなものです。今回の場合は、この心拍信号が脆弱性の悪用に繋がりました。サーバーは秘密の情報を返信し、攻撃者に対して「血を流した」のです。このような理由から、Heartbleed という名前が付けられました。筆者個人としては、とても格好いい名前だと思います! この名前は脆弱性が実際に何を行うかを言い表しているため、報道機関もこれを気に入りました。

異なるアンチウイルス会社が同じ型に別々の名前を付けることも頻繁にあります。しかし、大抵の場合、私たちは皆、混乱を避けるために同じ名前を使おうとします。もちろん、すべてに同意する人はいません。この場合、2 つの立場があります。一方は自分が発見したすべての検体にそれぞれ特別な名前を付けたがり、もう一方はただ 1 つの検出名のみを付け、単に「マルウェアです!」と主張します。弊社は、両者の中間あたりに位置し、これは恐らく決して変わらないでしょう。

というわけで、どのようにしてマルウェアに名前が付けられるか、これでお分かりいただけたことと思います。

アバスト無料アンチウイルスを利用して脅威から保護しましょう。日本語版ンロード