最後にFFRIからの発表内容について紹介したいと思います。忠鉢洋輔と愛甲健二による「テンタクル: 環境感受性のあるマルウェア触診」では、テンタクル(TENTACLE)という名称の動作環境を考慮したマルウェアを自動解析するための技術についての内容を解説しました。
マルウェアの種類、量は急増しており、専門のエンジニアによる手動解析ではまったく手が足りない状態となっています。そのため、さまざまな自動解析技術が研究、実用化されています。また、マルウェアもこうした状況を受けて自動解析技術を阻害する機能を搭載したものが出回り始めています。
例えば、国内でもインターネットバンキングなどで猛威をふるっている「不正送金マルウェア」も、こうした自動解析を阻害する機能を有しており、単純に感染者のPCからマルウェアを抽出し、ラボ環境に持ち帰っても実行できない、動作を解析できないといったケースが存在します。
このようなケースでは、マルウェア自体を隠ぺいするための仕組みが巧みに動作しています。マルウェアが初回実行時に感染したPCのハードウェアに関連した固有の情報を内部に保存することで、次回以降の実行時に固有情報を比較し、保存していた値から変化がないかを確認します。固有情報が変化している場合は、別のPC上で実行されていると判断し、何もせず終了する、というような機能が埋め込まれているのです。
こうしたマルウェアは、単純な方法では初期感染したPCでしか動作せず、いかに検体を確保しても他の環境(自動解析システムなど)ではマルウェアの“正しい”挙動を再現できないことになります。また、マルウェアの中にはVMwareやXenなどの仮想環境下ではそれを検知して動作しないものも存在します。これは既存の自動解析システムの多くが、こうした仮想化技術の上に成り立っているためです。
こうした「耐自動解析技術」は、その他にもさまざまなバリエーションが存在します。話を単純化すると、下記のような動作フローとなります。
そこでテンタクルは、マルウェアをサンドボックスと呼ばれる仮想的な実行環境下で“繰り返し”実行し、実行ごとに異なる既知の自動解析システムの痕跡を、マルウェアに対してさらします。実行ごとのマルウェアの実行パスを記録しているため、N回目実行時の実行パスとM回目実行時の実行パスに変化があった場合、変化のあった箇所で仮想環境検知を行っていることを特定することができます。
また、マルウェアが極端に短い実行ステップ数で終了した場合や、ネットワーク通信を行わずに終了した場合など不自然な形で終了した場合、実行パスをさかのぼり、上記の動作フローの2.に相当するチェック処理(分岐処理)を探し出します。これにより、耐自動解析技術に相当するチェックを発見、推定することができます。
耐自動解析技術はさまざまなバリエーションが存在し、日々新たな手法が発見されているのが現状です。そのため、そうした新たな手法を発見することは、マルウェアの進化を把握する上で重要であり、耐自動解析技術への対策を継続的に自動解析の仕組みに反映することで、自動解析の効率を改善することができます。これ自体も価値のあることですが、自動化の本来の意義は、人間がより創造的な作業に取り組めるようにすることです。
FFRIはヒューリスティック技術を基礎とした対策製品の開発を行っており、そこでは各研究開発エンジニアの戦力が重要となります。この意味でも、付加価値の低い作業の自動化は必須だと考えています。
本記事では、PacSec 2014の発表内容から3つのセッションについて紹介しました。全ての発表資料はPacSecの公式サイトで公開されています。
こうした国際カンファレンスでの発表資料は多くの場合、一般に公開されます。そのため、カンファレンス参加の一番の意義はその場に参加し、さまざまな人と出会い、会話することで、新たな人間関係や生きた情報交換をすることだと思います。2014年12月中旬には、日本発の国際カンファレンスである「CODEBLUE」が開催されます。会場で読者の皆様とお会いできることを楽しみにしています。
FFRIは日本においてトップレベルのセキュリティリサーチチームを作り、IT社会に貢献すべく2007年に設立。日々進化しているサイバー攻撃技術を独自の視点で分析し、日本国内で対策技術の研究開発に取り組んでいる。その研究内容は国際的なセキュリティカンファレンスで継続的に発表し、海外でも高い評価を受けており、これらの研究から得た知見やノウハウを製品やサービスとして提供している。
Copyright © ITmedia, Inc. All Rights Reserved.