著名バグハンターが明かした「脆弱性の見つけ方」――「CODE BLUE 2015」リポート：セキュリティ業界、1440度（17）（3/3 ページ）

[株式会社FFRI，＠IT]

標的型攻撃に使用されるマルウエアに対する最新の解析方法

　ここ数年で、大企業や政府機関を対象とした標的型攻撃、特に持続的に攻撃を行うAPT（Advanced Persistent Threat）が急増しており、ハッカー集団による大規模なAPT攻撃は、「APTキャンペーン」と呼ばれるようになりました。

　JPCERTコーディネーションセンター（JPCERT/CC）の朝長秀誠氏と中村祐氏からは、日本国内を対象とした標的型攻撃の攻撃手法や、攻撃に使用されるマルウエア、ツールについて解説が行われました。また、標的型攻撃に関連するマルウエアの解析テクニックや、解析ツールも紹介されました。JPCERT/CCでは、日本年金機構への攻撃にも使用されたマルウエア「Emdivi」の分析ツールを、GitHub上で公開しています（関連リンク（GitHub））。

　米インテルのAPTレスポンスチーム サイバーアナリストで、ソフトウエア開発者のブヘブナ・ソマ氏からは、APTで実際に使用されたマルウエアのコードの類似性を評価するための、さまざまな手法が発表されました。昨今のAPTにおいては、パターンマッチング型のアンチウイルスソフトを回避するために、コードの一部を変更し再コンパイルすることでハッシュ値を変えることが一般的になっています。これに対抗する方法として、近年研究が進んでいるのが「類似性計量」です。ソマ氏の発表では、3種類の類似性計量手法を使用してマルウエア検体のバイナリのクラスターを作成し、それぞれの判定技術の有効性が評価されました。

セキュリティ界の将来を担う若者たちによる発表

　冒頭でも紹介した通り、今回のCODE BLUEから、新たにYouth Track制度が取り入れられました。ここでは、Youth Trackから黒米祐馬氏と小池悠生氏の講演を紹介しましょう。

マルウエアに含まれる暗号アルゴリズムを自動識別する――黒米氏

黒米祐馬氏

　黒米氏の発表では、ファジーハッシュを使用した暗号アルゴリズムの自動識別技術が紹介されました。同氏は、バンキングマルウエアとして猛威を振るった「Zeus」のソースコードが流出し、さまざまな亜種が生産されている現状に対して、これらのマルウエアが行う算術・ビット演算、ループ構造などに着目し、暗号化処理が含まれる箇所を抽出する方法と、「LLVM（Low Level Virtual Machine）」を用いて、解析妨害機能を回避する技術を紹介しました。この解析妨害機能の回避の際に生じる解析の揺れを、ファジーハッシュを用いて吸収できるそうです。

「スタックカナリア」を回避する新たな手法の提案――小池氏

小池悠生氏

　一方の小池氏からは、バッファオーバーフロー攻撃を防ぐための手法である「カナリア」を回避する新たな方法が発表されました。カナリアは、リターンアドレスがスタックのカナリア領域に書き込まれたことをトリガーに、プロセスを終了させることでバッファオーバーフローを防ぐ技術です。同氏の講演では、マスターカナリアを書き換えることによってこの技術を回避するという手法が紹介され、実際にデモも行われました。これまでは、バッファオーバーフローが検出された際にスタック保護システムが呼び出す関数である「__stack_chk_fail」の呼び出し自体を避ける方法や、事前に知り得たカナリア値からそれをリークする方法が考えられてきましたが、小池氏のアプローチは、それらとは異なるものでした。

参加者も楽しめるCODE BLUE

　会場を二つに分ける「2トラック制」、また満24歳以下の講演者を対象とする「Youth Track」という二つの新たな試みが取り入れられた2015年のCODE BLUE。スポンサーブースコーナーでは、ルーターに対するハッキングコンテストが開催され、実際にゼロデイ脆弱性が買い取られるなど、多くの参加者が積極的に活動したイベントでもあったと思います。本稿で紹介した講演はごく一部であり、他にも数多くの興味深い講演がありました。昨年の「CODE BLUE 2014」の講演資料および映像は、2015年6月22日にCODE BLUEのWebサイトで公開されています。今回の講演資料についても公式サイトにて公開予定だそうですので、期待して待ちましょう。

関連リンク

CODE BLUE 2015

　本稿で興味を持たれた方は、ぜひ、次回のCODE BLUEに参加してみてください。われこそはという方は、講演に応募してみてはいかがでしょうか？

「セキュリティ業界、1440度」バックナンバー

• 初のiPhone個人Jailbreaker、ホッツ氏が語る「OSSによる自動車の自動運転化」――CODE BLUE 2017レポート
• 20年以上前のネットワーク規格が自動車や人命をセキュリティリスクにさらす
• 日本初の自動車セキュリティハッカソンも――「escar Asia 2016」レポート
• 「車載セキュリティ」研究の最前線――「2016年 暗号と情報セキュリティシンポジウム（SCIS2016）」レポート
• 著名バグハンターが明かした「脆弱性の見つけ方」――「CODE BLUE 2015」リポート
• クルマのハッキング対策カンファレンス「escar Asia 2015」リポート
• 「CSS／MWS 2015」に向けた3000件のマルウエア解析から得られた発見とは？
• エンジニアよ、一次情報の発信者たれ――Black Hat Asia 2015リポート
• 自動車、ホームルーター、チケット発券機――脅威からどう守る？
• 高度なマルウェアを解析するには“触診”が一番？ 「PacSec 2014」リポート
• マルウェア捕獲後、フリーズドライに？「Black Hat Europe 2014」に参加してきた
• セキュリティ・キャンプ卒業後に何をしたいか、してほしいか
• 講師も悩む――セキュリティ・キャンプ「選考」のやり方
• Hide and seek――Citadelの解析から見る近年のマルウェア動向
• 自動車の守り方を考える「escar Asia 2014」レポート
• CODE BLUE――日本発のサイバーセキュリティカンファレンスの価値
• 自動車もサイバー攻撃の対象に？「Automotive World 2014」レポート
• 機械学習時代がやってくる――いいソフトウェアとマルウェアの違いは？
• 沖縄の地でセキュリティを学ぶ「セキュリティ・ミニキャンプ in 沖縄」レポート
• PacSec 2013 レポート 2日目〜Chromeの守り方、マルウェアの見つけ方
• PacSec 2013 レポート 1日目〜任意のコードをBIOSに

株式会社FFRI

FFRIは日本においてトップレベルのセキュリティリサーチチームを作り、IT社会に貢献すべく2007年に設立。日々進化しているサイバー攻撃技術を独自の視点で分析し、日本国内で対策技術の研究開発に取り組んでいる。その研究内容は国際的なセキュリティカンファレンスで継続的に発表し、海外でも高い評価を受けており、これらの研究から得た知見やノウハウを製品やサービスとして提供している。