検索
ニュース

JPCERT/CC、マルウェア分類ツール「impfuzzy for Neo4j」を公開マルウェアをクラスタリングし、可視化

JPCERTコーディネーションセンター(JPCERT/CC)が、セキュリティ担当者向けのマルウェア分類ツール「impfuzzy for Neo4j」を公開。マルウェアを素早く分類し、新種のマルウェアを抽出する作業の効率を向上できるという。

Share
Tweet
LINE
Hatena

 JPCERTコーディネーションセンター(JPCERT/CC)は2017年3月10日、IT管理者、セキュリティ担当者向けのマルウェア分類ツール「impfuzzy for Neo4j」をGitHubで公開した。

photo impfuzzy for Neo4j

 impfuzzy for Neo4jは、マルウェアの類似性を分析し、グラフデータベース「Neo4j」を使って結果を可視化するツール。マルウェア分析では、大量のマルウェア素早く分類し、分析するべき新種のマルウェアを抽出することが求められる。同ツールにより、こうした作業を効率化できる。

 同ツールは以下の流れで動作する。

  1. impfuzzyを用いて各マルウェアの類似度を計算
  2. impfuzzyの類似度計算の結果からグラフ(ネットワーク)を作成
  3. 作成したグラフをネットワーク分析(クラスタリング)
  4. クラスタリングした結果をNeo4jデータベースに登録し、可視化

 同ツールが作成するグラフにより、「どのマルウェアのグループに亜種が多いのか」「どのマルウェアの類似性が高いのか」などを分かりやすく視認できるようになる。

photo 「Emdivi」をimpfuzzy for Neo4jで分析したクラスタリング結果

 マルウェアの類似度判別に利用するハッシュ値は、JPCERT/CCが考案したアルゴリズム「impfuzzy」で計算する。

 マルウェアの調査は既知のマルウェアかどうかを判別することから始める。この作業は、マルウェアの実行ファイルをハッシュ関数に通して得られるハッシュ値によって比較することが多い。ただし、2つのファイルが完全に一致することを確認するためによく利用される「MD5」や「SHA-1」といったハッシュ関数では、入力データが1ビットでも異なればまったく異なるハッシュ値になるために、類似性の比較には適さない。

 そこでimpfuzzyでは、マルウェアがインポートしているAPI(Import API)が列挙されている(Windows実行ファイルのヘッダ部分にある)インポートテーブルから得られる「Fuzzy Hashing」を用いてハッシュ値を計算する。Fuzzy Hashingでは、単純かつ機械的な変換しか施されていないコードのハッシュ値は、元のハッシュ値に近い値になる。昨今よく検出されるマルウェアは、既存のマルウェアのカスタマイズ版/亜種であることが多い。つまり、一部のImport APIが追加あるいは変更されただけならば、impfuzzyによる計算値は近い値になる。

 また、ハッシュ値計算の対象がインポートテーブルだけなので、実行ファイル全体からハッシュ値を求めるよりも短時間で演算できることもポイントに挙げる。

 impfuzzy for Neo4jは、既にGitHubからダウンロード可能。Pythonで記述されていることから、Pythonモジュール「pyimpfuzzy」と「py2neo」、Pythonスクリプト「pylouvain.py」、及びNeo4jをインストールした上で利用する。

Copyright © ITmedia, Inc. All Rights Reserved.

Security & Trust 記事ランキング

  1. 米国/英国政府が勧告する25の脆弱性、活発に悪用されている9件のCVEとは、その対処法は? GreyNoise Intelligence調査
  2. セキュリティ担当者の54%が「脅威検知ツールのせいで仕事が増える」と回答、懸念の正体とは? Vectra AI調査
  3. セキュリティ専門家も「何かがおかしいけれど、攻撃とは言い切れない」と判断に迷う現象が急増 EGセキュアソリューションズ
  4. OpenAIの生成AIを悪用していた脅威アクターとは? OpenAIが脅威レポートの最新版を公開
  5. 約9割の経営層が「ランサムウェアは危ない」と認識、だが約4割は「問題解決は自分の役割ではない」と考えている Vade調査
  6. インサイダーが原因の情報漏えいを経験した国内企業が約3割の今、対策における「責任の所在」の誤解とは
  7. 「このままゼロトラストへ進んでいいの?」と迷う企業やこれから入門する企業も必見、ゼロトラストの本質、始め方/進め方が分かる無料の電子書籍
  8. MicrosoftがAD認証情報を盗むサイバー攻撃「Kerberoasting」を警告 検知/防御方法は?
  9. 人命を盾にする医療機関へのランサムウェア攻撃、身代金の平均支払額や損失額は? 主な手口と有効な対策とは? Microsoftがレポート
  10. AIチャットを全社活用している竹中工務店は生成AIの「ブレーキにはならない」インシデント対策を何からどう進めたのか
ページトップに戻る