特集

最新のIT技術情報や旬な話題をお届けいたします

[座談会]
マルウェアを解析し、攻撃者の素性を暴け!日本企業も積極的に検体を提供して情報共有を

攻撃者の素性を暴け!

※CrowdStrike Inc. Vice President Intelligence Adam Meyers(アダム・メイヤーズ)氏(写真:中)

※マクニカネットワークス セキュリティ研究センター センター長 政本 憲蔵(写真:右)

※マクニカネットワークス セキュリティ研究センター 凌 翔太(写真:左)

※本記事は2013年7月に行われたインタビューを元に作成しています

近年、とみに急増している標的型攻撃から企業が身を守るためには、「敵は誰か」「その意図は何か」に着目し、相手の一歩先を行く“攻めの防御”を展開していくことが重要だ。今回の座談会では、先進的なインテリジェンス駆動型セキュリティで知られる米国・CrowdStrike(クラウドストライク)のバイスプレジデント Adam Meyers(アダム・メイヤーズ)氏をゲストに迎え、マクニカネットワークスの技術者を交えながら、最新の攻撃者や攻撃手法についてお話を伺った。

いかに攻撃者のコストを上げるかがポイント

政本:まず初めに、CrowdStrikeにおけるメイヤーズ様の職務についてお聞かせください。

メイヤーズ:現在、私はCrowdStrikeのインテリジェンス部門の副社長を務めています。私たちのミッションは、企業や政府などへの攻撃者を追跡調査し、どのような攻撃を仕掛けているのかを分析することです。例えば、攻撃者のオペレーションコストを上げるような取り組みを行っています。

凌:コストを上げるというのは、具体的にはどのようなことをするのでしょうか。

Adam Meyers(アダム・メイヤーズ)氏

メイヤーズ:今や攻撃者は非常に安いコストで攻撃することが可能ですし、たとえ攻撃に失敗したとしてもその影響はたいしたものではないと考えています。こうした状況の中で攻撃者のオペレーションコストを上げる方法ですが、まず、彼らが攻撃の際により多くのリソースを消費するように仕向けます。たとえば、高度な攻撃でなければ突破できないよう、防御のレベルを引き上げる施策を実施するなどです。

また、入手したマルウェアをリコンパイルし、活用するためにはさらに新しいeメールなどを作成しなければならないようにして、攻撃のコストを上げています。特に、エクスプロイト(exploit=ソフトウェア他の脆弱性を突く悪意あるプログラム)を一から新たに作成するのはとてもコストが掛かるので、過去のエクスプロイトを再利用させないような、さまざまな努力を行っています。

高度化するマルウェアを解析するため、常に技術開発で先行する

凌:これまでさまざまなマルウェアに出会ってきたと思いますが、過去のマルウェアの中で最も解析が難しかったものは?

メイヤーズ:基本的に解析の際はリバースエンジニアリングを行いますが、それを阻止するため独自の仮想環境を構築し、その中で活動するマルウェアというのが最も厄介な存在でしたね。これに対し我々は、まず仮想環境の解析を行った上で、マルウェアを解析するという2段階の手順を踏まなければなりませんでした。そのため、いつも使っているツールではなく、専用のツールを作成しなければなりませんでした。

政本:なるほど、攻撃者もいろいろと考えているのですね。今後も攻撃者はさまざまな手段を講じてくると思われますが、CrowdStrikeではどのように対処していきますか?

メイヤーズ:何より、技術面で彼らに先行することが大事だと思います。そのためにも、当社は優れた人材と多くの時間を技術開発に投入しており、今後もその予定です。

凌:マルウェアを解析した後は、攻撃者の特定という作業に移るかと思います。攻撃者の属性…例えば国籍や所属…を示す特徴はいくつかあって、攻撃者もそれらを擬装しようと試みますが、最終的にはどのように特定しているのでしょう?

メイヤーズ:マルウェア内の痕跡を元に解析します。主な痕跡としてはコンパイラ言語などが挙げられますが、それと同時に、人が残す独特な印(ヒューマン・ツールマーク)、例えば特有の文字列などで、攻撃者の属性を特定することができます。

凌:ランダムな文字列であったとしても、それがどこの国のものであるのか特定できるということですか。

メイヤーズ:ええ。コンパイルされたマルウェアの中に埋め込まれている文字列などを解析すると、どの言語のキーボードを使ってタイプされたものかなどの特定が可能です。

政本:他にはどのような痕跡がありますか?

メイヤーズ:そうですね。例えば、使用されているAPIコール、プログラム技術、コマンド&コントロールサーバとの通信方法・IPアドレスなどがあります。

政本 憲蔵

政本:マニアックな質問になりますが、最近では攻撃者もリバースエンジニアリング対策として、マルウェアを暗号化する際にXOR(排他的論理和)暗号の鍵長を長くしたり、鍵を頻繁に変えたりなどしていますが、こうしたケースではどのようにして鍵を見つけていますか。

メイヤーズ:多くの場合、暗号化のアルゴリズムを特定することでキーを特定できます。ただ、1つ目のマルウェアが2つ目のマルウェアをダウンロードして実行するタイプの場合、1つ目のマルウェアが暗号化されたマルウェアを復号・実行するものがあります。その際、2つ目の暗号化されたマルウェアしか入手できないと、鍵情報やアルゴリズムが無いため解析は困難です。こうしたとき、我々は本来の実行ファイルでバイナリの値がヌル値(0x00)となっている部分をチェックします。XOR暗号の場合、平文(暗号前の文)は鍵と同じバイト列となっているので、そこから鍵を特定することが可能です。

言語の専門家などと協力して、攻撃者を特定していく

政本:ここからは攻撃者自身について伺いたいと思います。攻撃者の所属している組織など、技術以外の情報はどのようにして得ているのでしょうか?

メイヤーズ:中国語、ペルシャ語、アラビア語など、攻撃者のネイティブの言語を理解できるインテリジェンスの専門家、言語の専門家などを雇用しています。彼らと協力しながらヒューマン・ツールマークを探り、どのようなグループなのか、リーダーはどんな人物か、誰とコミュニケーションをとっているかなど、社会的なプロフィールや背景をあぶり出します。

例えば、”Deep Panda”の名前を持つ有名な攻撃グループがあります。あるとき、ヒューマン・ツールマークの解析により某ルートキット(rootkit)の作成者が判明しましたが、これがDeep Pandaと全く同じ構造でした。そこからその人物の社会的なつながりを調べ、所属する組織を特定していきました。

凌:攻撃者と直接コンタクトを取ったことはありますか?

メイヤーズ:私自身がスピアフィッシング(spear phishing)の攻撃を受けたとき、彼らに「ドキュメントが開かないので、もう一度送ってくれないか」とリクエストしたら、新しいエクスプロイトが送られてきたことがありますよ(笑)。

凌:攻撃者についていろいろと情報収集されているようですが、ブラックマーケットの監視はしていますか?

メイヤーズ:もちろん常に監視しています。中でも話題のツールや技術、その売買情報などを注視していますが、最近あった事件では、CARBというマルウェアについて価格が決まらず、しまいには制作者同士でケンカを始めてしまい、とうとう中の一人がソースコードを公開してしまったという事件がありました。

マルウェアの検体を提供して情報共有することが、日本企業の保護につながる

凌:CrowdStrikeのエンジニアは、情報セキュリティについて優れたスキルをお持ちだと思いますが、ナレッジの共有についてはどうされているのでしょうか?

メイヤーズ:当社の設立当初は、優れた知識や能力を持つ人を採用する方針で成長してきましたが、今では若く経験の浅いジュニア層の中からも人材を採用しています。さらに彼らのメンターとして既存のシニア層の人材を立て、着実に育成していく方針をとっています。

凌 翔太

凌:日本企業は社内で見つけたマルウェアの検体の提供を拒むことが多いといわれています。それは検体に自社の機密情報が含まれていると考えており、その漏えいを恐れていることが大きな理由です。何か良いアドバイスはありますか。

メイヤーズ:以前は米国でも検体を提供しようとしない企業がほとんどでしたが、今では検体の情報が多くの人の目に触れ、共有されることが有益と理解されています。もちろん当社も競合他社とも情報共有していますし、そうした行動が全体の最大利益になると考えています。

実のところ、マルウェア内に機密情報が含まれることはほとんどありません。ですから日本企業の方々も、安心して検体を提供してください。検体を提供することで、皆さんだけでなく、他の日本企業、ひいては日本の産業の保護に貢献していただきたいと思います。

--本日は、どうもありがとうございました。

いつか見た景色 from Staff's Albums