2015年3月26〜27日に、著名なセキュリティカンファレンスの一つであるBlack Hatのアジア版、「Black Hat Asia 2015」が開催された。その様子と、FFRIが発表したマルウエアのアンチサンドボックス機能を自動解析する研究について紹介しよう。
日本はまだ肌寒い2015年3月末、南のはるか5000キロメートル先にある常夏の島シンガポールで、著名なセキュリティカンファレンスである「Black Hat」のアジア版、「Black Hat Asia 2015」が開催されました。FFRIからは、リサーチエンジニア忠鉢洋輔、愛甲健二による研究が採択され、現地にて成果を発表しました。
会場は、最新のリゾートホテルとしてその名を知られているマリーナ・ベイ・サンズに併設された、マリーナ・ベイ・サンズ・コンペティションセンターです。余談ですが、マリーナ・ベイ・サンズには、シンガポールに二つしかないカジノの一つがあります。ラスベガスで毎年行われているBlack Hat USAにしろ、元国営カジノが中心部にあるオランダ、アムステルダムで開催されているBlack Hat Europeにしろ、ハッカーはカジノが好きだろう、ということなのでしょうか?
Black Hat Asia 2015の開催は、建国の父と呼ばれ、永年シンガポール国民に親しまれてきたリー・クアンユー初代首相が亡くなられた直後であり、国会議事堂へ弔問に訪れる人々が大規模な行例を作っていました。
会場全体は「Black Hat Europe 2014」より心持ちコンパクトでしたが、逆に1部屋の人数は400人から500人規模で大きめでした。
発表の内容についてですが、開催地が世界有数の金融都市であるシンガポールであることからか、オンラインバンキングに関するトピックが多いように感じました。いくつかの発表をピックアップしてご紹介します。
まず、モバイルバンキングアプリのセキュリティを検証してみたという「(IN)Security of Mobile Banking」(発表者:Eric Filiol & Paul Irolla)の紹介です。彼らはモバイルバンキングアプリのセキュリティを脆弱性、通信経路の暗号化、偽の証明書への対策、ユーザートラッキングの可能性、利用している暗号化の強度というポイントごとに、独自のツールを用いて検証した結果を報告していました。彼らの発表はBlack Hat Asia 2015公式Webサイトで閲覧できます。興味のある方はぜひご覧ください。
(IN)Security of Mobile Banking(Black Hat Asia 2015)
https://www.blackhat.com/asia-15/briefings.html#insecurity-of-mobile-banking
アジアと欧米のモバイルバンキングアプリを比較すると、アジアの銀行の方がより多くの端末、ユーザー情報を取得する傾向があるそうです。そしてアジアのモバイルバンキングがセキュアであるかというと、そうでもないとのことでした。日本の銀行が提供するオンラインバンキングアプリも調査対象となっており、致命的な脆弱性はなかったが、一部の送信情報が平文のままであったり、偽の証明書に対する対策が一部欠けているなどと指摘されています。
バンキングマルウエア(オンラインバンキングを狙ったマルウエア)を扱うトピックとしては、バンキングマルウエアがよく用いるアンチサンドボックス動作にフォーカスした、われわれFFRIの発表と、バンキングマルウエアがWebブラウザーに注入するWebコンテンツの検知と保護についての発表がありました。後者の発表であるBypassing Malware Detection Mechanisms in Online Banking(発表者:Jakub Kaluzny & Mateusz Olejarka)では、もしマルウエアがブラウザーに悪意のあるWebコンテンツを表示できてしまったとき、それをブラウザー上で検知する、あるいはサーバー側で検知する方法を紹介していました。
ブラウザーに悪意のあるコードが注入された時点でブラウザーによる保護は期待できないのではないか、という見方もできますが、多層防御という観点や導入のしやすさという観点では、こういった防御のアプローチも有用であるといえるでしょう。いずれにせよ、オンラインバンキングマルウエアによる被害は拡大する一方であり、少しでもそういった被害を減らせるような手法や製品を広めることが、社会的にも求められていると強く感じました。
Bypassing Malware Detection Mechanisms in Online Banking(Black Hat Asia 2015)
変わり種の発表としては、ビットコインの取引ログを使ったマルウエア拡散の手法についての発表がありました。この発表では、元々サイバー犯罪と距離が近い仮想通貨と、その仮想通貨のアーキテクチャを利用したマルウエア拡散が近いうちに行われるのではないか、というコンセプトの研究発表でした。
発表者は2015年にできたばかりのインターポール・シンガポール総局のメンバーでした。インターポールといえば、日本ではルパン三世に登場する銭形警部のおかげでその存在を知っている人が多いと思います。シンガポール総局ではインターポールの中で初めてサイバー犯罪に特化したチームが組織され、日本からも何名かの方が出向しているそうです。プレゼンテーションの中で、「こんな発表ができるぐらい楽しい職場なので、興味を持った人がいたら是非来てね!」とリクルーティングしていたのが印象に残りました。
Decentralized Malware on The Blockchain(Black Hat Asia 2015)
https://www.blackhat.com/asia-15/briefings.html#decentralized-malware-on-the-blockchain
Copyright © ITmedia, Inc. All Rights Reserved.