マルウェア捕獲後、フリーズドライに？「Black Hat Europe 2014」に参加してきた：セキュリティ業界、1440度（11）（2/2 ページ）

IoT時代、セキュリティ分析手法はスケールアウトできるのか？オランダで開催された「Black Hat Europe 2014」で見たこと、聞いたこと、感じたことをレポートしよう。

[株式会社FFRI，＠IT] PC用表示関連情報

LINE

Hatena

前のページへ | 　　　　　　

マルウェアを”瞬間冷凍”して”別ホストに移送”する手法

スピーカーマークが付いたネームプレート

　さて、手前味噌ですが、今回私が発表した研究「Freeze drying for capturing environment-sensitive malware alive」についても簡単にご紹介させていただきます。今回私は、高度なアンチ解析テクニックが使われているマルウェアを実行中に停止し、その停止状態から他のホストで再度実行するというテクニックと、そのテクニックを用いたマルウェア捕獲システムのプロトタイプについて発表しました。このプロセスを他のホストに送るテクニックを、オペレーティングシステムの研究では「プロセスマイグレーション」と言います。

　いわゆるWin32アプリケーションをプロセスマイグレーションすることは非常に困難ですが、私の研究では、サンドボックスを使うことでその難しさを緩和し、そのコンセプトをプロトタイプとして実際に実装しました。この研究により、高度なアンチ解析で行われる“ホスト固有の情報を使ったアンチ解析”を緩和したり、ハニーポットにマルウェアを移送し、その動作を詳細に観測したりすることを可能としました。

　私の発表は会期の最後であり、結構な数の参加者が帰り始めている時間帯でしたが、それでも多くの人に聴講していただき、発表後も多くの人からポジティブなフィードバックを頂くことができました。研究に対する生の反応をその場でもらえ、日本からはるばる1万キロ以上を飛んでここまで来たかいがあったと感じる瞬間でした。

筆者の発表の様子

あなたもいつかは「投稿側」へ

　以上が私の目を通した、Black Hat Europe 2014のレポートです。今回紹介した研究は一部にすぎず、AndroidやWebセキュリティに関する定番のトピックや、SDNやScalaのLiftフレームワークのセキュリティなどの新顔まで、多岐にわたる研究が紹介されています。資料も公開されていますので、一度眺めてみてはいかがでしょうか。

　ヨーロッパやアジアで行われる国際会議は、英語が母国語ではない人が多く集まるという意味で、英語が苦手でも比較的コミュニケーションがしやすいという感触があります。いきなりBlack Hat USAに投稿して発表するのは難しいかもしれません、まずは「Black Hat EU」や、「Black Hat Asia」を狙って、投稿してみるのはいかがでしょうか。

コーヒーブレイクで運ばれてきたアイスクリームと冷凍庫。外は12〜13度という少し肌寒い気温でしたが、“アツい”ハッカーたちにはヌルい！ってことですかね……

「セキュリティ業界、1440度」バックナンバー

株式会社FFRI

FFRIは日本においてトップレベルのセキュリティリサーチチームを作り、IT社会に貢献すべく2007年に設立。日々進化しているサイバー攻撃技術を独自の視点で分析し、日本国内で対策技術の研究開発に取り組んでいる。その研究内容は国際的なセキュリティカンファレンスで継続的に発表し、海外でも高い評価を受けており、これらの研究から得た知見やノウハウを製品やサービスとして提供している。

マルウェア捕獲後、フリーズドライに？「Black Hat Europe 2014」に参加してきた：セキュリティ業界、1440度（11）（2/2 ページ）

マルウェアを”瞬間冷凍”して”別ホストに移送”する手法

あなたもいつかは「投稿側」へ

株式会社FFRI

Security & Trust 記事ランキング