ウイルス対策ソフトは暗号化されたウイルスを検知できる?

最終更新日 2019年10月11日

ウイルス対策ソフトは暗号化されたウイルスを検知できるのか

「働き方改革」がサイバー犯罪者の標的に――セキュリティ専門家が指摘する脅威と対策:「社内ネットワークなら安全だ」は脆弱性の根源 - @IT には、以下のとおり書かれています。(この記事の公開年月日は2017年10月25日)
 「メールの添付ファイルをZIPで暗号化するという“謎ルール”もありますね。しかし、ZIP暗号化されたデータは、ウイルス対策製品の検疫をバイパスできてしまいます。クラウド型の検疫サービスも同様です。導入したセキュリティ製品が、暗号化ZIPによって無効化されているかもしれません」
偽装ウイルスからPCを守るには――ハッカーが用いる「4種の偽装」 (1/4) - ITmedia エンタープライズ には、以下のとおり書かれています。(この記事の公開年月日は2018年2月28日)
 まずは、ウイルスを圧縮ファイル内に紛れ込ませてメールに添付する方法だ。圧縮された状態でメールに添付されたウイルスは、対策ソフトでは検出されにくい。吉田氏は、「特にパスワード付きのZIPファイルの中身を確認することは困難だ」と説明する。
ウイルス対策ソフトは、暗号化されたウイルスを検出することは難しいようです。不可能とは書かれていませんので、検出できることもあると考えられます。

圧縮や暗号化されたウイルスを検知可能? | 日経 xTECH(クロステック) には、UTMは圧縮されたファイル内のウイルスや、圧縮と暗号化の両方が行われたファイル内のウイルスを検出できるのか、検証した結果を掲載しています。(この記事の公開年月日は2016年5月25日)

UTMとは、企業の社内ネットワーク等とインターネットの間に設置する機器であり、アンチウイルスの他にファイアウォール等、様々なセキュリティ機能が搭載されています。

パソコンにインストールして利用するウイルス対策ソフトとは違うものですが、ウイルスを検知し削除する仕組みに大きな違いはないと思います。

もしUTMは暗号化されたウイルスを検知できるなら、ウイルス対策ソフトでも可能と考えられます。

同記事に書かれている検証結果の一部を引用します。
 C社製品では、パスワード付きZIP圧縮されたウイルスも100%検知できた。英数記号8文字の十分に強いパスワードで暗号化したファイルを解読できたとは思えない。パスワード付きZIP圧縮ファイルに含まれる、属性情報といった非暗号化データを基にウイルスかどうか判断したと推測できる。

 A社製品でも、パスワード付きZIP圧縮のウイルスを5割検知できた。ただし、ウイルスとしてではなく、「疑わしいファイル」として検知している。
「A社製品」、「C社製品」はUTMのことであり、他にB社製品も検証に使われましたが、B社製品はパスワード付きZIP圧縮されたウイルスを全く検知できなかったそうです。

AES(Advanced Encryption Standard)で暗号化されたウイルスは、どの製品も全く検知できなかったそうです。


キャンペーン情報
富士通
・大ボーナスセール
クーポン利用で16〜23%OFF等の10大特典
(11月27日迄)
学割キャンペーン icon
学生、教職員の方に特別割引クーポン等の学割特典
(キャンペーン実施中)
シークレットクーポン
特別割引率のクーポン
(11月27日迄)