作者はシェイクスピアのファン？ テキストの挿入で“特徴”を変える

スペインのパンダセキュリティは2009年4月23日、ウィリアム・シェイクスピア作の戯曲「ハムレット」の一節が挿入されたウイルスプログラムを報告した。セキュリティ対策ソフトに検出されにくくすることが目的だと考えられる。

同社によれば、あるウイルスプログラム（バイナリファイル）を解析したところ、英語で書かれたハムレットの一節が挿入されていたという（図）。それも、 1つのプログラムだけではなく、合計で3件のウイルスプログラムに記載されていた。同社スタッフは、これらのプログラムに関連があることは明らかだとしている。

ハムレットの一節を挿入した理由としては、次の2つが考えられるという。1つは、ウイルス作者が16世紀のルネッサンス文学のファンであるため。もう1つは、対策ソフトによる検出を難しくするため。ウイルスプログラムとは無関係のテキストを挿入することでその“特徴（パターン、シグネチャ）”を変えて、挿入前のウイルスに対応している対策ソフトでも検出できないようにする。

余計なテキストを挿入する手口は、フィッシング詐欺目的のメールなどでも使われているという。フィッシング対策ソフトは、フィッシングメールでよく使われる“キーワード”を検出し、メールの全文に占めるキーワードの割合を算出。ある割合以上のメールをフィッシングメールと判定する。そこで攻撃者は、メールとは無関係の文章をフィッシングメールに含めることでこの割合を下げて、対策ソフトに検出されないようにするという。

同社スタッフによれば、今回報告したウイルスの事例とフィッシングメールの事例は、技術的には全く同じではないものの、その狙いは同じだとしている。