セキュリティマイスターコラム 第6回

初心者でもわかる!セキュリティアナリストの解析現場
第一回「マルウェア解析の現場」

サイバー攻撃による脅威が増加している中、セキュリティアナリストは日々サイバー攻撃の解析業務を行なっています。本コラムでは、数回にわたり様々な解析現場をわかりやすく紹介していきます。第一回は、あまり知られていないマルウェア解析の現場で行っている作業を紹介します。

サイバー攻撃からの防御に役立つ、マルウェアの解析

昨今のサイバー攻撃には、ほとんどの場合にマルウェアが関係しています。マルウェアとは、「Malicious Software」から作られた言葉で、「悪意のあるソフトウェア」を意味します。マルウェアは、インターネットバンキングの認証情報を窃取し不正に送金する、機密情報を盗む、重要システムを破壊する、といった様々なタイプがあります。最近では、ファイルを暗号化し、復号するためには金銭を支払うよう要求するような「ランサムウェア」と呼ばれるマルウェアも流行しています。

マルウェアの解析は、様々な立場の人が様々な目的をもって行っています。

サイバー攻撃を日々監視しているSOC(セキュリティ・オペレーション・センター)では、不審なファイルを発見したときに、マルウェアかどうかを特定するために解析を行います。また、セキュリティセンサー上で攻撃を識別するルールを設定するためにも解析が必要です。マルウェアが、どのようにC&Cサーバ(コマンド・アンド・コントロールサーバ。攻撃者がマルウェアに対し攻撃の指令を送るサーバ)等と通信するのかを明らかにすることで、ルールを作成します。

法執行機関は、サイバー犯罪の調査のために、発見されたマルウェアを解析することもあります。

マルウェア解析の3つの方法

マルウェア解析にはさまざまな方法がありますが、私たちの現場では以下の3つのステップに分けて解析を行っています。

  • 表層解析
  • 動的解析
  • 静的解析

ステップ1:マルウェアの特徴をもとに過去の解析データを調査する「表層解析」

最初に行うのは表層解析です。これはマルウェアの表層的な特徴(ファイル名、ファイル種別、ハッシュ値等)を元に、インターネットや過去の解析データ等を調査する方法です。マルウェアを動作させずに解析するため、比較的危険度が低いやり方といえます。

ステップ2:実際にマルウェアの挙動を見る「動的解析」

表層解析では満足のいく結果が得られなかった場合、動的解析を行います。動的解析は、マルウェアを動作させ、その挙動をモニタリングして解析する方法です。

マルウェアを実際に動作させるので、やり方を間違えると他の端末に感染が拡大する可能性もあります。そこでネットワークに繋がないスタンドアロン環境や仮想環境を用いて、マルウェアが感染の際にどのようなファイルを作成するのか、またその通信先などを調べます。解析環境内に擬似的なC&Cサーバを用意することもあります。このC&Cサーバと通信させることで、迅速に通信先を特定でき、その通信をブロックする等、すばやい対策を行うことができます。
仮想環境のスナップショット機能を利用すると解析後、感染前の環境に容易に戻すこともできます。

[図]マルウェアの動的解析環境例

ステップ3:マルウェアのコードを読み解く「静的解析」

最後に行うのが静的解析です。静的解析は、マルウェアのファイルをリバースエンジニアリングして、プログラムのコードを読み解きます。主な言語は、アセンブリ言語です。C言語のような高級言語では数行で書けるコードが、アセンブリ言語では、大量のコードになります。コードをすべて読み解くのでは、非常に多くの時間を要しますので、解析の目的、ポイントを絞って行います。

[図]リバースエンジニアリング後のアセンブリコード

サイバー攻撃者の意図を見抜き、解析に成功したときのやりがいは特別

攻撃者はマルウェア作成の際、サンドボックス(注)などのセキュリティ製品に防御されないよう、また、セキュリティアナリストに解析されないような細工を施しています。

例えば、マルウェアは感染したマシンのディスクサイズをチェックすることがあります。解析環境は、必要最低限のリソースで構築するためにディスクサイズが比較的小さいという特徴があります。このような環境では動作を停止し、アナリストによる解析を阻みます。

現場のセキュリティアナリストは、攻撃者の様々な細工に対応する必要があり、解析作業は常に困難を極めます。しかし攻撃者の意図を見抜き、細工を突破し、解析が成功したときの充実感と達成感は、苦労した分だけ特別なものがあります。

なお、マルウェア解析は、自身が感染しないよう細心の注意と管理、専門的な知識が必要です。マルウェアに関する法規制もあるため、専門家にゆだねることをお勧めします。

  • 注:
    プログラムを動作させても、システムに影響が出ない特別な領域。サンドボックス上で不審なファイルを動作させ、その振る舞いからマルウェアかを判断する。

2018年1月24日

富士通株式会社
大迫 剛史
[ハイマスター領域]コンピュータウィザード

高度な分析を実施する分析ラボ(A3L:エーキューブラボ)を2015年に立上げて、同ラボにてセキュリティインシデント対応やマルウェア解析に従事している。近年は、Cyber Threat Intelligence(サイバー脅威情報)に関する技術推進にも従事しており、OSINT分析を活用したサイバー脅威情報に関する分析も実施中。

セキュリティマイスター紹介ページ

[写真]

「サイバーセキュリティ」に関するお問い合わせ・ご相談

Webでのお問い合わせ

お電話でのお問い合わせ

ページの先頭へ