「マルウェア」と「チートツール」の類似性と相違点とは

　日本電気株式会社（NEC）は7月25日、セキュリティ観点から見た「マルウェア」と「チートツール」の類似性と相違点について、同社セキュリティブログに解説記事を発表した。NECサイバーセキュリティ技術統括部 セキュリティ技術センターの中島健児氏が執筆している。

　同記事では、マルウェアの攻撃手法とチートツールの実行手法の技術的特徴に焦点を当て、比較しながら中島氏が興味を持った類似点と相違点について紹介している。

　「チート」とは、ゲームの公平性を損なうあらゆる不正行為を指し、同記事ではチートを実行するプログラムのことを「チートツール」と呼んでいる。

　同記事では、マルウェア攻撃者及び不正プレイヤーの目的や実現例として下記を挙げ、考察している。

・マルウェア
主な目的：金銭獲得、システム破壊・業務妨害、機密情報窃取、踏み台としての悪用
典型的な実現例：ランサムウェア、バンキング型トロイの木馬、APT攻撃におけるバックドア型マルウェア、ボットネット

・チート
主な目的：ゲーム内での優位性獲得、承認欲求の満足、勝利欲求の充足、娯楽・実験目的、金銭獲得
典型的な実現例：エイムボット、ウォールハック、マクロボット、パラメータ改変

　また、マルウェアとチートツールの実行者についても、下記の実行者、初期権限レベル、物理アクセスの観点から比較し、考察している。

・マルウェア
実行者：外部の攻撃者（システム所有者≠攻撃者）
初期権限レベル：通常は制限されたユーザー権限から開始、管理者権限を得るには権限昇格が必要
物理アクセス：なし（リモートからの攻撃）

・チート
実行者：内部の実行者（システム所有者＝攻撃者）
初期権限レベル：最初から管理者権限で実行も可能
物理アクセス：あり（PCやハードウェアを直接操作することも可能）

　マルウェアとチートツールの類似点として、それぞれセキュリティ対策ソフトやアンチチートソフトの検知から逃れるために、似たような様々な検知回避手法を使っていることが判明したとし、「プロセス・ファイルの隠蔽」「コード注入」「カーネルモード動作」「難読化・自己変形」「セキュリティ製品の妨害」「サンドボックス・解析回避」のカテゴリでの共通する回避手法と具体例を挙げて紹介している。

　相違点として、「実行方法」「権限昇格」「ハードウェア活用、ファームウェア改変」のカテゴリでのマルウェアの手法例とチートツールの手法例を取り上げて、解説している。

元の記事を読む