「マルウェア完全に理解した」キヤノンマーケティングジャパン社マルウェアラボのお仕事 | ScanNetSecurity
2023.09.28(木)
コンテンツ
注目検索ワード
ホーム 研修・セミナー・カンファレンス セミナー・イベント 記事

「マルウェア完全に理解した」キヤノンマーケティングジャパン社マルウェアラボのお仕事

キヤノンマーケティングジャパン株式会社(キヤノンMJ)は 3 月初旬に開催されるセキュリティカンファレンス「SecurityDays Spring 2019」で、2018 年のサイバー攻撃の総括と、2019 年の動向を予想する講演を行う。登壇するのは、同社マルウェアラボ、池上雅人氏だ。

研修・セミナー・カンファレンス セミナー・イベント
PR
 キヤノンマーケティングジャパン株式会社(キヤノンMJ)は 3 月初旬に開催されるセキュリティカンファレンス「SecurityDays Spring 2019」で、2018 年のサイバー攻撃の総括と、2019 年の動向を予想する講演を行う。登壇するのは、同社マルウェアラボ、池上雅人氏だ。

 キヤノンMJ のラボは、チェコスロバキアのアンチウイルスの雄 ESET 社の研究所仕込みの技術力を持つ 7 名の精鋭部隊。講演に先立ち、池上氏に見どころやマルウェアラボの取り組みについて話を聞いた。

――さっそくですが、3 月 7 日(木) 午前 9 時 35 分から東京で行われる池上さんの講演ですが、どんな内容になる予定ですか(大阪講演は 3 月 1 日(金) 午前 11 時 35 分から)。

 キヤノンMJ が公開しているマルウェアレポートをベースに、統計的な概要をまずお話します。その中で、データから見られた特徴や傾向を分析し、2019 年度のサイバー攻撃動向について考えてみたいと思っています。

――2018 年の傾向はどう分析していますか。

 トピックは 2 つあると思っています。ひとつは、仮想通貨に関連した脅威、2 つめはばらまき型攻撃の進化です。

 1 つめの仮想通貨に関連した脅威では、2018 年の上半期に猛威を振るったコインマイナーや仮想通貨の盗難事案をはじめ、下半期に観測されたセクストーション詐欺と呼ばれる攻撃手法をご紹介します。セクストーション詐欺とはメール受信者のプライベートな映像を撮影したと脅迫し、それを削除する対価に仮想通貨などを要求する犯罪手口です。実際に弱みを握られているとメール受信者に信じさせるために巧妙な手法が用いられています。仮想通貨の価格が下がった影響か、ピーク時に比べると仮想通貨に関連する攻撃は落ち着いていますが、未だ攻撃者にとって魅力的な資金源であることには違いありません。

 2 つめのばらまき型攻撃については、手法が巧妙化しています。メール添付では、あまり一般的ではない IQY ファイル(エクセルを起動させるファイル)を偽装したマルウェアが報告されています。ラボにおいても、昨年秋ごろに、画像ファイルにマルウェアが埋め込まれている、ステガノグラフィの事例を確認、解析しました。

 アイコン偽装だけでなく、ビューワーで画像表示もされるように擬態しているので、検出が簡単ではありません。画像ファイル以外、音声や動画ファイルでも同様な擬態が可能なものです。確認されたコードは、PowerShell のスクリプトやローダーなどです。そこからエクスプロイトやボットなどをダウンロードするようです。ばら撒き型ですが、標的型攻撃のような段階を踏む、手の込んだ攻撃になっています。高機能なライブラリを手軽に入手できるようになったことがその背景にあるのではないかと思います。

 他にもワードやエクセルのマクロを利用したマルウェアの検出も目立ちました。我々が検知したマルウェアの 12.1 %、1 割以上がマクロウイルスでした。マクロウイルスは古くから存在するマルウェアですが、マクロ、JavaScript、VBS といったスクリプト系マルウェアの流れの中で、忘れられたころに増えるという周期があるのかもしれません。

――現在キヤノンマーケティングジャパン株式会社のマルウェアラボは 7 名体制と聞きました。みなさんどのような活動をしているのですか。

 マルウェアの解析といっても、具体的な作業はイメージしにくいかもしれませんね。基本的には検体のコードや動作を解析するのですが、使っている環境はそれほど特殊なものではありません。解析にはネットから隔離された環境が必要ですが、仮想化環境を用意して分析を行うこともあります。解析ツールには、オープンソースのソフトウェアを使うこともあります。

 簡単な解析環境なら、PC と標準的なツールがあればすぐに構築できます。しかし、当然それでは解析しきれない相手もあります。標準ツールでかわらないものは、高機能なツールを使って時間をかけて分析します。

――どうなったときに「そのマルウェアが解析できた」と自信を持って言えるんですか?

 何をもって解析ができた、という明確な基準はありませんが、自分の中ではパズルを解いたような感覚に達することがあります。たとえばランサムウェアの復号方法を突き止めたりすると目が覚めるような達成感があります。また、復号できなくても、送金先を特定できたり、通信先のサーバーを突き止めたりしたときも、ひとつの区切りになります。

 海外では、大学でバイナリファイルの解析講座などありますが、日本ではあまりこういう技術を学ぶ機会がありません。だから多くは独学で学びツールを駆使して正解にたどり着きます。パズル好きの人には向いているかもしれません。ラボにもそんな人がいます。

 ただ、パズルと実際のマルウェアが違うところは、タイミングや時間との闘いになることがあることです。通信先を見つけても、すでに C&C サーバーがなくなっていたら、どの情報が漏れたのかがわからなくなったりすることがあります。

――まるで変化し続ける迷路のようですね。ラボの今後の活動について何かプランはありますか。

 キヤノンMJ のマルウェアラボは、設立してまだ日が浅かったので、これまでは全般的にマルウェアの解析、検体の調査を行ってきました。しかし最近は、私を含めた解析スタッフが、それぞれのテーマで解析を進めています。各自の得意分野、得意なマルウェアの種類ごとに分析を深めています。たとえば、エクスプロイトキットに強い解析スタッフ、ランサムウェアの専門家といったイメージです。

 現在は、マルウェア解析に特化しているラボですが、将来的にはテンペスト、フォレンジックスといった専門家を増やし、活動範囲を広げていきたいと思っています。

――池上さん自身の個別テーマを聞いていいですか。

 私は自然言語処理に興味があります。大量のビッグデータ、非構造化データから脅威情報を抽出する技術です。ネット上の大量の文字情報をテキストマイニングや言語処理することで、特定の脅威、攻撃などのコンテキストを抽出し、予防や対策に役立てます。

 これらのデータ解析を専業で行っている事業者もありますが、これを自分達で収集、構築できないかと考えています。

―― OSINT やサイバーインテリジェンスにつながる研究ですね。

 そうです。データの収集ツールや機械学習などの知識も必要になります。Black Hatなどの国際カンファレンスで論文の発表ができるレベルまで高めたいと思っています。

――ラスベガスの Black Hat USA の会場で、壇上に立つ池上さんを見るのを楽しみしています。ありがとうございました。
《中尾 真二( Shinji Nakao )》

ソース・関連リンク

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

脆弱性と脅威 記事一覧へ

WordPress 用プラグイン「Welcart e-Commerce」に複数の脆弱性 画像

WordPress 用プラグイン「Welcart e-Commerce」に複数の脆弱性
Sansan、不正ログインに注意呼びかけ ~ 無償提供の二要素認証等促進 画像

Sansan、不正ログインに注意呼びかけ ~ 無償提供の二要素認証等促進
安全神話は本当か トレンドマイクロ「Linux 脅威レポート」 画像

安全神話は本当か トレンドマイクロ「Linux 脅威レポート」
ISC BINDに複数の脆弱性、アップデートを呼びかけ 画像

ISC BINDに複数の脆弱性、アップデートを呼びかけ
複数のBGP実装に不正なBGP UPDATEメッセージ取り扱いの問題 画像

複数のBGP実装に不正なBGP UPDATEメッセージ取り扱いの問題
systemd において sudo 権限の付与により管理者権限での任意のコード実行が可能となる脆弱性(Scan Tech Report) 画像

systemd において sudo 権限の付与により管理者権限での任意のコード実行が可能となる脆弱性(Scan Tech Report)

インシデント・事故 記事一覧へ

JR西日本グループの山陽SC開発のメールアカウントに不正アクセス、迷惑メール送信踏み台に 画像

JR西日本グループの山陽SC開発のメールアカウントに不正アクセス、迷惑メール送信踏み台に
NICTの業務委託先 TBSグロウディアでノートPC紛失 画像

NICTの業務委託先 TBSグロウディアでノートPC紛失
仕事旅⾏社のサーバに不正アクセス「日本警察が要求に従わない場合データ公開」 画像

仕事旅⾏社のサーバに不正アクセス「日本警察が要求に従わない場合データ公開」
「アミ姫 WEB キャンペーン」応募者の個人情報管理サーバに不正アクセス 画像

「アミ姫 WEB キャンペーン」応募者の個人情報管理サーバに不正アクセス
メガネスーパー運営企業の個人情報、法律上無効の可能性がある契約に基づき譲渡された店舗の POS 端末で検索した形跡 画像

メガネスーパー運営企業の個人情報、法律上無効の可能性がある契約に基づき譲渡された店舗の POS 端末で検索した形跡
南海電鉄運営のシェアオフィス「Lieffice」公式サイトへの不正アクセス、顧客情報DBへ到達は不可能なため漏えいはないと判断 画像

南海電鉄運営のシェアオフィス「Lieffice」公式サイトへの不正アクセス、顧客情報DBへ到達は不可能なため漏えいはないと判断

調査・レポート・白書・ガイドライン 記事一覧へ

ランサムウェア さらに投資対効果追求「フォーティネット グローバル脅威レポート 2023年上半期版」 画像

ランサムウェア さらに投資対効果追求「フォーティネット グローバル脅威レポート 2023年上半期版」
攻撃者の Active Directory 到達まで平均 16 時間 ~ ソフォス調査 画像

攻撃者の Active Directory 到達まで平均 16 時間 ~ ソフォス調査
ランサムウェア対応 法執行機関を関与させた方がコストも期間も減少 ~ IBM 調査 画像

ランサムウェア対応 法執行機関を関与させた方がコストも期間も減少 ~ IBM 調査
フォーティネット「2023年ゼロトラストに関する現状レポート」公表 画像

フォーティネット「2023年ゼロトラストに関する現状レポート」公表
GMOイエラエ 登壇「セキュリティ・キャンプ全国大会2023」講義資料公開 画像

GMOイエラエ 登壇「セキュリティ・キャンプ全国大会2023」講義資料公開
TwoFive「フィッシングトレンド 2023年1月~6月 調査結果」公表 画像

TwoFive「フィッシングトレンド 2023年1月~6月 調査結果」公表

研修・セミナー・カンファレンス 記事一覧へ

医療 ISAC ほか講演「JAIPA Cloud Conference 2023」9月21日 ハイブリッド開催 画像

医療 ISAC ほか講演「JAIPA Cloud Conference 2023」9月21日 ハイブリッド開催
公安調査庁がサイバー攻撃ほかについて講演「法の日フェスタin赤レンガ2023」 画像

公安調査庁がサイバー攻撃ほかについて講演「法の日フェスタin赤レンガ2023」
デロイト直伝:バグバウンティハンターのなり方 画像

デロイト直伝:バグバウンティハンターのなり方
診断内製化 まだ年度末に間に合う ~ エーアイセキュリティラボ 執行役員 関根鉄平氏 解説 画像

診断内製化 まだ年度末に間に合う ~ エーアイセキュリティラボ 執行役員 関根鉄平氏 解説
RSA 主催セミナーに ISOG-J 副代表の阿部氏登壇 画像

RSA 主催セミナーに ISOG-J 副代表の阿部氏登壇
耐量子計算機暗号(PQC)への移行に向けた取組み GMOイエラエ菅野氏紹介 ~ 日本銀行金融研究所セミナー 画像

耐量子計算機暗号(PQC)への移行に向けた取組み GMOイエラエ菅野氏紹介 ~ 日本銀行金融研究所セミナー

製品・サービス・業界動向 記事一覧へ

IPA 基準適合サービスリスト 脆弱性診断サービス 7 社追加 画像

IPA 基準適合サービスリスト 脆弱性診断サービス 7 社追加
ランサムウェア被害を最小限に留め 事業再開を迅速に ~ サイバーレジリエンスとは? 画像

ランサムウェア被害を最小限に留め 事業再開を迅速に ~ サイバーレジリエンスとは?
セキュアヴェイル、医療機関向けセキュリティ対策に特化「NetStare for Medical」 画像

セキュアヴェイル、医療機関向けセキュリティ対策に特化「NetStare for Medical」
スマホアプリ開発ガイドラインを開発、コンサルサービスとして提供 画像

スマホアプリ開発ガイドラインを開発、コンサルサービスとして提供
NECと高専機構 “セキュ女子” が交流、CTF体験など実施 画像

NECと高専機構 “セキュ女子” が交流、CTF体験など実施
AI は未来の脆弱性診断をどう変える? 第3回 「進化する AI と共に成長する AeyeScan、人を超えていく未来の可能性を探る」 画像

AI は未来の脆弱性診断をどう変える? 第3回 「進化する AI と共に成長する AeyeScan、人を超えていく未来の可能性を探る」

おしらせ 記事一覧へ

小説内に登場するバーで直筆サインをいただきました ~ 創刊24周年キャンペーン 11/30 迄 画像

小説内に登場するバーで直筆サインをいただきました ~ 創刊24周年キャンペーン 11/30 迄
「果たされた約束」アフタヌーンティー開催レポート ~ 創刊24周年キャンペーン実施のおしらせ 画像

「果たされた約束」アフタヌーンティー開催レポート ~ 創刊24周年キャンペーン実施のおしらせ
Scan PREMIUM 創刊24周年記念キャンペーン実施中 画像

Scan PREMIUM 創刊24周年記念キャンペーン実施中
ScanNetSecurity 創刊24周年御礼の辞(上野宣) 画像

ScanNetSecurity 創刊24周年御礼の辞(上野宣)
【当選確率3倍】2022年 CrowdStrike カレンダープレゼント 画像

【当選確率3倍】2022年 CrowdStrike カレンダープレゼント
創刊23周年記念イベント「ハッカージャーナリスト誕生譚」オンライン公開インタビュー 11/18 開催 画像

創刊23周年記念イベント「ハッカージャーナリスト誕生譚」オンライン公開インタビュー 11/18 開催
Page Top
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)
×