PEフォーマット

マルウェア

セキュリティ対策の盲点:MZヘッダを使ったマルウェアの巧妙な隠蔽

- ファイルの中に潜む歴史 皆さんが日常的に使用しているWindowsパソコンで、ファイルをダブルクリックして開く際、裏側ではファイルの種類を判別する仕組みが働いています。文書ファイルや画像ファイル、実行ファイルなど、ファイルの種類に応じて適切な処理が行われますが、この判別にはファイル名に付く拡張子だけでなく、ファイルの中身も参照されることがあります。 特に、プログラムを実行する際に使用される実行ファイルには、その動作の基盤となる重要な情報が含まれています。 興味深いことに、最新のWindowsパソコンで使用されている実行ファイルの中に、実は、一昔前のDOS時代の名残が残っていることがあります。その名残の一つが「MZヘッダ」と呼ばれる部分です。 「MZヘッダ」は、ファイルの先頭に配置され、Windowsがそのファイルを実行ファイルであると認識するための一つの目印として機能しています。これは、WindowsがDOS時代のプログラムとの互換性を保つように設計されたことに由来します。 このように、一見すると最新の技術で構成されているように見えるWindowsパソコンの内部にも、過去の技術との繋がりを見ることができます。これは、技術の進化が必ずしも過去の技術を完全に置き換えるのではなく、互換性を保ちながら段階的に進んでいくことを示す好例と言えるでしょう。