SCAN DISPATCH ：ウイルスのオブフスケーション・コンテスト

SCAN DISPATCH は、アメリカのセキュリティ業界及ハッカーコミュニティから届いたニュースを、狭く絞り込み、深く掘り下げて掲載します。

国際海外情報

2008年5月27日（火） 17時00分

SCAN DISPATCH は、アメリカのセキュリティ業界及ハッカーコミュニティから届いたニュースを、狭く絞り込み、深く掘り下げて掲載します。

──

ハッカー・コンファレンスの老舗であるデフコンは、今年で16年目を迎える。今回のデフコンは8月8〜10日にラスベガスで開かれる。毎年新しい企画を導入し、常にフレッシュなコンファレンスを提供しているのがこれだけ長続きする理由であろう。また、スピーカーによるプレゼンと並行して、数々のコンテストやイベントが用意されており、参加者主体型のコンファレンスになっている。

デフコン主催のオリジナルのコンテストとして第1回目から続いているのが、キャプチャー・ザ・フラッグである。これは、主催者の用意したマシンに侵入するハッキング・コンテストだ。やがて「コーフィー・ワー（誰の持ってきたどんなコーヒーが一番美味しいかを競う）」や「ワードライビング（車で走り回って、802.11のアクセスポイントのブレーク・インを試みるもの」などが加わりコンテストの数が増え、今年ともなるとデフコンのオルガナイザーは場所を提供するだけのアン・オフィシャルなコンテストを含めて30近くになっている。

さて、そうしたコンテストの中で、早くも話題となっているものに、「The Race to the Zero」がある。コンテストのウエブページによればレース・ツー・ゼロは、「コンテストの参加者に配布されたウイルスや悪意のあるコードを変更し、コンテスト主催者のポータルにアップロードするものです。アップロードされたサンプルは、アンチ・ウイルス・エンジンにかけられて、誰の改変したコードが検知されずにアンチ・ウイルス・エンジンを通り抜けるかを競う」ものである。つまり、コンテストの参加者が、オブフスケーション技術を競うというわけだ。主催者はコンテストを主催する理由として、下記の6つを挙げている。

The Race to the Zero
http://www.racetozero.net/index.html

(1)リバース・エンジニアリングは楽しい。
(2)アンチ・ウイルス製品には天と地の差がある。デキの悪いアンチ・ウイルス製品のベンダーをはっきりさせるべき。
(3)ほとんどのシグネチャ・ベースのアンチ・ウイルス製品は、簡単に検知されることなく通り抜けることができる。
(4)既存のコードを改変してアンチ・ウイルス製品を通り抜けるのにはほとんど時間もかからず、アンチ・ウイルス製品を盲目的に信用して被るダメージと比べると、桁違いである。
(5)シグネチャ・ベースのアンチ・ウイルス製品の時代は終わった。ヒューリスティック(heuristic）、統計的、行動パターン・ベースの製品に移行すべきだ。
(6)アンチ・ウイルス製品はセキュリティの一部にすぎない。パッチのアップデート、FWその他、その他のセキュリティ・ポリシーを利用するべきだ。

原稿を書いている現在までに、このコンテストについて「PC World」と「Wired」が記事にしているが、「PC World」はAVG Technologiesのチーフ・リサーチ・オフィサーらの発言を引用しながら、「悪人に新しい技術を教えることになるだけだ」と書いている。

アンチ・ウイルス・ベンダーの中でも特に、カスペルスキーのユージン・カスペルスキ氏は、氏のブログでこう反論している「いかなる状況であろうとも、新しいマルウエアを製作することには異議を唱えたい(中略)毎日何千という新しい（ウイルスの）サンプルが浮上している現在、アンチ・ウイルス製品のテクノロジーを向上させるのに十分な”生きた”ウイルスが沢山存在している。オルガナイザーの言う、「シグネチャ・ベースのアンチ・ウイルス製品の時代は終わった。ヒューリスティック(heuristic）、統計的、行動パターン・ベースの製品に移行すべきだ」というコメントは、注目を集めたいがゆえの言動である。アンチ・ウイルス製品のベンダーは一つとして、シグネチャ・ベースだけの製品など作っていない」と書き、「このコンテストは米国の法律に準拠しているのか？」という問題点を指摘しているが、これは正論である。

確かに、1996年に改正が加えられたThe Computer Fraud and Abuse Actでは、インターネットにつながっているコンピューターにウイルスを配布した場合は実刑が下ることになっているし、過去に何人もウイルス作者が逮捕されていることでも分かろう。

ユージン・カスペルスキーのブログを受けて、カスパルスキーのシニア・ウイルス・リサーチャーのヴィタリ・カムルスキ氏はそのブログで、「遅かれ早かれ、Race to Zero のようなコンテストが出現するのは避けられないが(中略)法律違反にならないように、コンテスト・ルールは変更されるものだろう」としながらも、「オブフスケーションをするのは、砂糖と砂を混ぜるように簡単にできるが、デオブフスケーションは、混ざった砂糖と砂を分けるようなもの」と例を出して「オブフスケーションはホワイト・ボックスだから簡単だけれど、デオブフスケーションの場合は、オブフスケーションによって改変されたコードが手元にあるだけで、オブフスケーションに使ったアプさえ手元にない。これはブラック・ボックスどころではなく、イマジネーションと高度な技術を必要とするものだ」と書いている。

確かに、コンテストのオルガナイザーが、たとえこのコンテストを…

【執筆：米国　笠原利香】

【関連リンク】
デフコン公式サイト
http://www.defcon.org/

《ScanNetSecurity》