第3回 この脆弱性対策エンジンは“永遠に完成しない”

株式会社フォティーンフォティ技術研究所
技術本部 ソフトウェア開発部 部長
石山智祥
2010/3/9

　他のセキュリティ機能との差別化

　ハードウェアDEPなどのセキュリティ機能が存在したことにより、ZDPエンジンが世に出る以前から、ウイルスなどの攻撃コードを作る側でもハードウェアDEPを回避するための攻撃手法が考えられていた。

　リサーチの結果、近年の攻撃手法ではハードウェアDEPを回避する攻撃手法がすでに標準となっていた。ハードウェアDEPでは、たとえすべての実行ファイルを保護することができたとしても、簡単に回避されてしまう。

　ここでいう近年の攻撃手法とは、「Return-to-Libc」と呼ばれるもので、 脆弱性攻撃を行い、任意のコードを実行する際、スタック上の呼び出し履歴を細工することで、ハードウェアDEPで検出される実行不可能なメモリ上の命令コードを使用せず、悪意あるコードを実行させてしまうものである。 この攻撃手法の場合、実行命令の格納されているメモリ上の保護属性が正常な実行命令のものとまったく変わらないため、ハードウェアDEPでの検出ができなくなってしまう。

　そこで、Return-to-Libcを使用した脆弱性攻撃を検出するために攻撃コードのリサーチを行ったところ、Return-to-Libcを使用した攻撃コードには、正常時のAPIの呼び出し履歴と異なる特徴があることが判明した。

　ZDPエンジンはソフトウェアで実装しているため、これらの特徴を検出するためのロジックを簡単に組み込むことができる。これにより、ZDPエンジンではそのほかのセキュリティ機能ではカバーしきれない範囲においても脆弱性攻撃を検出、ブロックするための機能を実装することができたのである。

　ZDPエンジンの今後

　ハードウェアDEPの例にあるように、攻撃者側、セキュリティ対策ベンダ側双方の技術進化は著しく、われわれが新たな手法でシステムを保護すれば、攻撃者はその保護を破る手法を考えようとする。そのため、ZDPエンジンは製品化で開発完了とするのではなく、攻撃者が考えるであろう新たな手法の研究を行い続け、新たな攻撃手法を用いたウイルスも確実に検出するために、エンジン自体を常に進化させていく必要があると考える。

　また、ZDPエンジンはクライアント型のウイルス検知だけでなく、脆弱性攻撃からの防御が必要なさまざまな場面に応用することができる。このエンジンはガンブラー型と呼ばれるようなWeb感染型マルウェアを検知し、アラートする弊社のシステム「Origma+」にも組み込まれている。Web感染型マルウェアの防御は困難を極めるが、このエンジンはWeb感染型マルウェアの攻撃を確実に防御することができる。

　ZDPエンジンは脆弱性攻撃を検出する最先端技術として、yaraiのみならず、今後もさまざまな場面で確実に求められるだろうと考えている。

yarai開発者 石山智祥

2/2

Index
この脆弱性対策エンジンは“永遠に完成しない”
	Page1 ZDPエンジン：パターンファイルに頼らず防御する「要の技術」 すべての実行ファイルを守るために
	Page2 他のセキュリティ機能との差別化 ZDPエンジンの今後

Profile

石山智祥（いしやま　としあき） 株式会社フォティーンフォティ技術研究所 技術本部 ソフトウェア開発部 部長 セキュリティプロダクトの開発、およびさまざまなセキュリティコア技術に関する研究に従事。 マルウェア分析のスペシャリストとして、マルウェアのリバースエンジニアリング手法やダイナミックコード分析手法の研究に従事。また、脆弱性分析やPtoPシステムセキュリティに関する調査・研究にも従事。

セキュリティを形にする日本のエンジニアたち 連載インデックス

＠ITメールマガジン　新着情報やスタッフのコラムがメールで届きます（無料）