マルウェアの難読化に利用される圧縮ツール

　マルウェアがウイルスチェックプログラムなどから検出されたり、人手による解析から逃れるために、バイナリパッカーを利用したアーカイブファイルや自己解凍型ファイルの形式で配布、ダウンロードさせるという手法がある。いわゆる難読化のひとつの例として知られているものだ。

　しかし、マルウェアではない正規のソフトウェアやコンテンツファイルが、著作権保護、改ざん防止、ユーザーの便宜、などの理由でバイナリパッカーを利用することも少なくない。これが、セキュリティソフトやツールによっては不穏なファイルとして分類されてしまうこともある。

圧縮してもIEEEのタグがホワイトリストとして利用できる

　IEEE Standards Association（IEEE‐SA）が8月3日にBlack Hatの会場で発表したIEEE Software Taggant Systemは、こうした問題を解決できる技術として注目を集めている。バイナリパッカーにアプリケーションの作成者や配布パッケージの生成者の情報を付加し、誰が作ったソフトウェアなのか、誰が作成した配布パッケージなのかを追跡できるようにするというものだ。現在は、セキュリティベンダーや有志に対して、RFP（Request for Proposal）を告知し、開発や提案者を募っている段階である。したがって、具体的な実装方法や認証技術については確定していない。

　仮にIEEE Software Taggant Systemが標準化されて、それに対応したバイナリパッカーならば、作成者が特定できるかもしれないが、攻撃者が対応していないツールを使って圧縮していたら効果がないのではないか、という疑問があるかもしれない。確かにそうなのだが、IEEEレベルで標準化された場合、このシステムによる署名、もしくは作成者情報がないアーカイブファイルは、一律危険なファイルとして処理することが可能になる。