複数のセキュリティ分析ツールがあるように見せかけてマルウェアのインストールを回避させるソフトウェア「Scarecrow」

PCを使用するにあたって、ノートンやウイルスバスターといったセキュリティソフトをインストールしている人は多いはず。イギリスに拠点を置くサイバーセキュリティ研究者グループが作成した「Scarecrow」はセキュリティソフトとは異なりますが、実行すると、マルウェアが起動をためらうようなセキュリティ分析ツールが存在するように見せかける効果があります。

Cyber Scarecrow
https://www.cyberscarecrow.com/

ハッカーがユーザーのPCに悪意のあるソフトウェアをインストールする場合、ハッカーはまず、そのソフトウェアが安全に実行できることを確認します。その際に、セキュリティ分析ツールやマルウェア対策ツールが搭載されていることを確認した場合、悪意のあるソフトウェアのインストールを避ける傾向にあるそうです。

そこで、サイバーセキュリティ研究者グループはハッカーがマルウェアの起動をためらうような、セキュリティ分析ツールの存在を偽装するソフトウェア「Scarecrow」を構築し、共有しています。

Scarecrowのダウンロードページは以下。

Cyber Scarecrow
https://www.cyberscarecrow.com/download

名前とメールアドレスを入力して「Get Scarecrow」をクリックします。入力した情報については共有せず、スパムメール送信にも使わないと注記されています。

「Get Scarecrow」をクリックすると、69.3MBの実行ファイルがダウンロードされるので、該当ファイルを起動。

Scarecrowのインストーラーが起動したら、「I agree to the licence terms and conditions」にチェックを入れ、「Install」をクリック。

しばらく待つと、インストールが完了しました。「Close」をクリックしてインストーラーを閉じます。

Windowsの通知領域にScarecrowのアイコンが表示されました。

Scarecrawの動作に設定などは必要ありません。アイコンを右クリックすることで起動する設定画面では、バックグラウンドで起動している偽のソフトウェアのシグナルを確認することができるほか、「Stop」をクリックすることでプログラムを終了することもできます。

開発元によると、Scarecrowは「ProcessHacker」「x64dbg」「tcpview」「proc_analyzer」「vboxservice」「qemu-ga」といった仮想化ツールやデバッグツール、一般的なセキュリティ分析ツールなどがインストールされているかのようなシグナルを作成し、侵入をためらうマルウェアが発見された場合、それを削除するとのこと。また、さまざまなツールがインストールされているように見せかけるために、レジストリエントリも作成されます。

Scarecrowの要件について、開発元は「Scarecrowは超軽量ソフトウェアであるため性能要件は非常に低いですが、64ビット版のWindows 10以降が必要です」と述べています。

Scarecrowの開発に至った経緯について「Scarecrowのアイデアは、セキュリティの専門家がマルウェアの仕組みをリバースエンジニアリングした際のレポートを見て思いつきました。マルウェアは標的のPCにインストールされる前に、PC上のさまざまなインジケーターをチェックして、セキュリティ研究者のマシンや敵対的な環境で実行されていないことを確認します。そこからScarecrowが生まれました」と開発元は語りました。

なお、ScarecrowはWindows 10とWindows 11向けに提供されていて、将来的にはmacOS版も提供されるかもしれないとのことです。