コンピュータウイルス解析支援ツールの研究開発

１．背景

　　　　マクロ型コンピュータウイルスは、ワープロや表計算ソフトウェアなどのア
　　　プリケーションソフトウェアのマクロ機能を利用して作成されたコンピュータ
　　　ウイルスであり、ワープロや表計算ソフトウェアで作成したファイルに潜伏し
　　　、近年急激に普及した電子メールの添付ファイル、インターネットを利用した
　　　ファイルのダウンロードなどで入手したファイルを閲覧すると感染するため、
　　　その被害が急速に広がっている。
　　　　従来の一般的なコンピュータウイルスは、これを作成するために、コンピュ
　　　ータシステムのハードウェアとソフトウェアに関する深い知識が要求されたが
　　　、マクロ型コンピュータウイルスは、主に、マクロ言語と呼ばれる高級言語を
　　　使用して書かれており、比較的容易に作成できる。このため、従来のコンピュ
　　　ータウイルスとは比較にならない速度で、新種または変体が出現する。
　　　　コンピュータウイルスに対する駆除方法として、ワクチンソフトウェアによ
　　　る逐次的な方法がとられてきたが、マクロ型コンピュータウイルスの新種また
　　　は変体の出現頻度にあわせて、ワクチンソフトウェアを開発することが容易で
　　　ない状況となっている。

２．目的

　　　　上記の現状を踏まえて、本システムは、このような従来のコンピュータウイ
　　　ルスと比較して、伝染しやすく、短時間で新種が出現し、しかもワクチンソフ
　　　トウェアが作り難い、マクロ型コンピュータウイルスの解析を支援し、ワクチ
　　　ンソフトウェアの開発やコンピュータウイルスに対する防御効果の高いシステ
　　　ムの開発に有効な情報を提供することを目的として研究開発を行った。

３．研究の概要

　　（１）マクロ型コンピュータウイルスの解析
　　　　　コンピュータウイルスの解析を行うために必要な機能を抽出する観点から
　　　　マクロ型コンピュータウイルスの解析を行い、マクロ型コンピュータウイル
　　　　スを効率的に解析するために必要とされる機能を抽出し、システムの設計に
　　　　反映する。

　　（２）動作シミュレーションシステム
　　　　　マクロ型コンピュータウイルス感染時の動作解析には、一般的にデバッガ
　　　　ー、トレーサーを使用するが、アプリケーションソフトウェアに附属の機能
　　　　は当該のウイルス解析に十分とはいえない。
　　　　　そこで、デバッガーの機能を拡充するため、プロセス間通信を利用し、マ
　　　　クロ型コンピュータウイルスが感染したアプリケーションソフトウェアを他
　　　　のソフトウェアにより監視、制御する方法を検討し、感染、発病のシミュレ
　　　　ーション並びにアプリケーションソフトウェアの内部状態の監視を行う動作
　　　　シミュレーションシステムを設計する。

　　（３）特徴解析システム
　　　　　感染前のファイルと感染後のファイルを比較することで、容易にマクロ型
　　　　コンピュータウイルスの部位とプログラム構造を解析できるように、アプリ
　　　　ケーションソフトウェアで作成されたファイルの内部情報として
　　　　　・マクロの名称
　　　　　・マクロの暗号化の有無
　　　　　・暗号解除方法
　　　　　・暗号解除後のマクロ
　　　　　・マクロプログラムのリスト
　　　　等を解析し、解析者にわかりやすい形式で提示する特徴解析システムを設計
　　　　する。

　　（４）発病症状解析システム
　　　　　以下に示すプログラム解析機能を備えた、マクロ型コンピュータウイルス
　　　　の動作（発病症状）を自動的に解析する発病症状解析システムを設計する。

　　　　-1．言語の構文解析
　　　　　　マクロ言語のプログラムにおいて、各文字列が、定数、変数、命令、関
　　　　　数サブプログラム等、どの範疇に属するものであるか分類する。
　　　　-2．命令実行手順の追跡
　　　　　　分岐及び分岐条件を明らかにし、マクロ言語の命令の実行手順を解析す
　　　　　る。
　　　　-3．命令実行手順の意味づけ
　　　　　　上記-2．の機能で解析した実行手順を、既存のマクロ型コンピュータウ
　　　　　イルスの概要をまとめたデータベースと照合することで、プログラムの動
　　　　　作の解析を行う。