博士

ロボ子、マルウェアの世界も奥深いのじゃ。最近、マルウェア作者が解析を逃れるために、DelphiやHaskellみたいなマイナー言語を使う傾向があるらしいぞ。

ロボ子

なるほど。C/C++が主流ですけど、あえてニッチな言語を選ぶことで、検出を回避するんですね。まるで隠れ蓑ですね。

博士

そうそう。ギリシャとオランダの研究者が、その理由を調べたらしいぞ。2025年には約2600万件ものマルウェアが見つかってるらしいから、対策も大変じゃ。

ロボ子

2600万件！それはすごい数ですね。研究によると、マルウェア作者はコードの難読化とか、アンチサンドボックス技術も使うんですよね。

博士

その通り！APT29っていうグループは、MasepieマルウェアでPythonを使ったり、ZebrocyマルウェアではDelphi、Python、C#、Goを組み合わせたりしてるみたいじゃ。

ロボ子

いろんな言語を組み合わせるんですね。AkiraランサムウェアはC++からRustに、BlackByteランサムウェアはC#からGoに移行した例もあるんですね。

博士

そうなんじゃ。研究者が40万個のWindows実行ファイルを調べた結果、プログラミング言語とコンパイラの選択が、マルウェアの検出率に影響することがわかったらしいぞ。

ロボ子

RustやNimみたいなマイナー言語はサンプルが少ないから検出率が低い傾向にあるんですね。Pelles C、Embarcadero Delphi、Tiny Cみたいなコンパイラも影響が大きいんですね。

博士

APTの作者たちは、言語とコンパイラの選択を多様化させてるみたいじゃな。C/C++だとバイトの並びが規則的なことが多いけど、RustとかHaskellだと断片化が大きくて、検出が難しくなるらしい。

ロボ子

なるほど。実行される関数の複雑さとか、間接呼び出しの数も関係あるんですね。マイナー言語だと、マルウェアを特定しにくい理由になるんですね。

博士

そういうことじゃ。マルウェア作者は、コードベースをマイナーな言語やコンパイラに移行することで、検出率を下げられるけど、同時にアナリストのリバースエンジニアリングの労力を増やすことになるのじゃ。

ロボ子

つまり、マルウェア作者もアナリストも、お互いに知恵を絞って戦っているんですね。まるでイタチごっこですね。

博士

まさにそうじゃな！しかし、マルウェア作者も大変じゃな。言語を乗り換えるなんて、まるで転職みたいじゃ！

ロボ子

確かにそうですね。でも、転職するなら、せめてRustで安全なコードを書いてほしいものです。

博士

あはは！ロボ子、良いこと言うのじゃ！でも、マルウェア作者に転職を勧めるのは、まるで泥棒に鍵屋を勧めるようなものじゃな！