高度なマルウェアを解析するには“触診”が一番？ 「PacSec 2014」リポート：セキュリティ業界、1440度（12）（3/3 ページ）

2014年11月12日〜13日、セキュリティカンファレンス「PacSec 2014」が東京で開催されました。1日目の講演をリポートしましょう。

[株式会社FFRI，＠IT]

“触診”でマルウェアを自動解析

　最後にFFRIからの発表内容について紹介したいと思います。忠鉢洋輔と愛甲健二による「テンタクル: 環境感受性のあるマルウェア触診」では、テンタクル（TENTACLE）という名称の動作環境を考慮したマルウェアを自動解析するための技術についての内容を解説しました。

「テンタクル: 環境感受性のあるマルウェア触診」

　マルウェアの種類、量は急増しており、専門のエンジニアによる手動解析ではまったく手が足りない状態となっています。そのため、さまざまな自動解析技術が研究、実用化されています。また、マルウェアもこうした状況を受けて自動解析技術を阻害する機能を搭載したものが出回り始めています。

　例えば、国内でもインターネットバンキングなどで猛威をふるっている「不正送金マルウェア」も、こうした自動解析を阻害する機能を有しており、単純に感染者のPCからマルウェアを抽出し、ラボ環境に持ち帰っても実行できない、動作を解析できないといったケースが存在します。

　このようなケースでは、マルウェア自体を隠ぺいするための仕組みが巧みに動作しています。マルウェアが初回実行時に感染したPCのハードウェアに関連した固有の情報を内部に保存することで、次回以降の実行時に固有情報を比較し、保存していた値から変化がないかを確認します。固有情報が変化している場合は、別のPC上で実行されていると判断し、何もせず終了する、というような機能が埋め込まれているのです。

　こうしたマルウェアは、単純な方法では初期感染したPCでしか動作せず、いかに検体を確保しても他の環境（自動解析システムなど）ではマルウェアの“正しい”挙動を再現できないことになります。また、マルウェアの中にはVMwareやXenなどの仮想環境下ではそれを検知して動作しないものも存在します。これは既存の自動解析システムの多くが、こうした仮想化技術の上に成り立っているためです。

　こうした「耐自動解析技術」は、その他にもさまざまなバリエーションが存在します。話を単純化すると、下記のような動作フローとなります。

1. プログラム（マルウェア）が実行される
2. 何らかのチェックを行う
3. チェックに該当した場合は、本来の動作を行わない
4. チェックに該当しなかった場合は、本来の動作を行う

　そこでテンタクルは、マルウェアをサンドボックスと呼ばれる仮想的な実行環境下で“繰り返し”実行し、実行ごとに異なる既知の自動解析システムの痕跡を、マルウェアに対してさらします。実行ごとのマルウェアの実行パスを記録しているため、N回目実行時の実行パスとM回目実行時の実行パスに変化があった場合、変化のあった箇所で仮想環境検知を行っていることを特定することができます。

　また、マルウェアが極端に短い実行ステップ数で終了した場合や、ネットワーク通信を行わずに終了した場合など不自然な形で終了した場合、実行パスをさかのぼり、上記の動作フローの2.に相当するチェック処理（分岐処理）を探し出します。これにより、耐自動解析技術に相当するチェックを発見、推定することができます。

　耐自動解析技術はさまざまなバリエーションが存在し、日々新たな手法が発見されているのが現状です。そのため、そうした新たな手法を発見することは、マルウェアの進化を把握する上で重要であり、耐自動解析技術への対策を継続的に自動解析の仕組みに反映することで、自動解析の効率を改善することができます。これ自体も価値のあることですが、自動化の本来の意義は、人間がより創造的な作業に取り組めるようにすることです。

　FFRIはヒューリスティック技術を基礎とした対策製品の開発を行っており、そこでは各研究開発エンジニアの戦力が重要となります。この意味でも、付加価値の低い作業の自動化は必須だと考えています。

　本記事では、PacSec 2014の発表内容から3つのセッションについて紹介しました。全ての発表資料はPacSecの公式サイトで公開されています。

　こうした国際カンファレンスでの発表資料は多くの場合、一般に公開されます。そのため、カンファレンス参加の一番の意義はその場に参加し、さまざまな人と出会い、会話することで、新たな人間関係や生きた情報交換をすることだと思います。2014年12月中旬には、日本発の国際カンファレンスである「CODEBLUE」が開催されます。会場で読者の皆様とお会いできることを楽しみにしています。

「セキュリティ業界、1440度」バックナンバー

• 初のiPhone個人Jailbreaker、ホッツ氏が語る「OSSによる自動車の自動運転化」――CODE BLUE 2017レポート
• 20年以上前のネットワーク規格が自動車や人命をセキュリティリスクにさらす
• 日本初の自動車セキュリティハッカソンも――「escar Asia 2016」レポート
• 「車載セキュリティ」研究の最前線――「2016年 暗号と情報セキュリティシンポジウム（SCIS2016）」レポート
• 著名バグハンターが明かした「脆弱性の見つけ方」――「CODE BLUE 2015」リポート
• クルマのハッキング対策カンファレンス「escar Asia 2015」リポート
• 「CSS／MWS 2015」に向けた3000件のマルウエア解析から得られた発見とは？
• エンジニアよ、一次情報の発信者たれ――Black Hat Asia 2015リポート
• 自動車、ホームルーター、チケット発券機――脅威からどう守る？
• 高度なマルウェアを解析するには“触診”が一番？ 「PacSec 2014」リポート
• マルウェア捕獲後、フリーズドライに？「Black Hat Europe 2014」に参加してきた
• セキュリティ・キャンプ卒業後に何をしたいか、してほしいか
• 講師も悩む――セキュリティ・キャンプ「選考」のやり方
• Hide and seek――Citadelの解析から見る近年のマルウェア動向
• 自動車の守り方を考える「escar Asia 2014」レポート
• CODE BLUE――日本発のサイバーセキュリティカンファレンスの価値
• 自動車もサイバー攻撃の対象に？「Automotive World 2014」レポート
• 機械学習時代がやってくる――いいソフトウェアとマルウェアの違いは？
• 沖縄の地でセキュリティを学ぶ「セキュリティ・ミニキャンプ in 沖縄」レポート
• PacSec 2013 レポート 2日目〜Chromeの守り方、マルウェアの見つけ方
• PacSec 2013 レポート 1日目〜任意のコードをBIOSに

株式会社FFRI

FFRIは日本においてトップレベルのセキュリティリサーチチームを作り、IT社会に貢献すべく2007年に設立。日々進化しているサイバー攻撃技術を独自の視点で分析し、日本国内で対策技術の研究開発に取り組んでいる。その研究内容は国際的なセキュリティカンファレンスで継続的に発表し、海外でも高い評価を受けており、これらの研究から得た知見やノウハウを製品やサービスとして提供している。