ブルーチームの新ツール 難検知ランサムウェアの発見 | ScanNetSecurity
2024.07.15(月)

ブルーチームの新ツール 難検知ランサムウェアの発見

 ブルーチーム防御に一筋の光ともいえる発表が、2022年の Blackhat USA、CODEBLUE などで行われた。中国 TXOne Networks の研究チームが、シンボリック実行にニューラルネットを応用した解析ツールを開発した。

研修・セミナー・カンファレンス
さまざまなランサムウェア
  • さまざまなランサムウェア
  • 悪性実行のコード検知
  • 実際のファイルでの検知
  • TCSA が検知したマルウェアファミリー
  • REvil の検知デモ

 ランサムウェアの検知は容易ではない。まず、ひとくちに「ランサムウェア」といっても種類やタイプがさまざまだからだ。またネットワークストレージを含むファイルシステム全体にわたって被害(暗号化)を及ぼすなど、OS の深いレベルへの攻撃を行うのもやっかいだ。

●レッドチーム・ブルーチームの攻防

 ランサムウェアの種類は「WannaCry」を始め、「Ryuk」「EKANS」「Conti」「LockBit」「REvil」など報道等で見かけるものだけでも 10 では効かないだろう。

 OS やソフトウェアの脆弱性を巧みに利用し、ファイルシステムにアクセスするということは、ログや監視の目を欺く能力も持っていることになる。亜種も多く、コード自体も難読化されていたり、発動前の発見は困難を極める。隠密行動に長けたマルウェアに対しては、基本的な予防策(ファイルバックアップを含む)に加え、地道な監視活動が欠かせない。SOC や CSIRT における重要任務のひとつだ。

 一方で、通常の CSIRT 業務やレッドチーム・ブルーチームでいえばブルーチームに相当する、企業で防御を行う側で、マルウェアの詳細を解析できるスタッフを擁する組織は多くない。

 マルウェアと思しきファイルを見つけても、本当に悪性のものか、どんな動きをするのかを解析するには、バイナリの知識、ディスアッセンブル、レジストリや OS の API の知識、そして解析スキルが必要だ。

 一般に、サイバーセキュリティにおいて防御側は攻撃側より不利だとされる。受け身にならざるを得ない防御側(=ブルーチーム)より、攻撃側(=レッドチーム)はイニシアティブをとりやすい。

 そのブルーチーム防御に一筋の光ともいえる発表が、昨 2022 年の Black Hat USA 2022 や CODE BLUE 2022 などで行われた。中国 TXOne Networks社の研究チームが、シンボリック実行にニューラルネットを応用した解析ツールを開発した。そのツールと手法を、猛威をふるうランサムウェア群に適用した実験結果を論文としてまとめている。

● 3 つの論文がベースとなったマルウェアの悪性解析ツール

 彼らの研究は「事前検知が困難なランサムウェアを効率よく見つける方法はないか」という動機から始まった。

 研究は、3 つの論文がベースおよびきっかけとなっている。ひとつは 2005 年のセマンティックマルウェア検知に関する IEEE シンポジウムで発表された論文(Semantics-Aware Malware Detection (IEEE Symposium on Security and Privacy 2005) )である。


《中尾 真二( Shinji Nakao )》

編集部おすすめの記事

特集

研修・セミナー・カンファレンス アクセスランキング

  1. 攻撃者のあの手この手、リアルな攻撃&リアルな現状を知る専門家が警鐘を鳴らす ~ JPAAWG 6th General Meeting レポート

    攻撃者のあの手この手、リアルな攻撃&リアルな現状を知る専門家が警鐘を鳴らす ~ JPAAWG 6th General Meeting レポート

  2. 「経産省 営業秘密官民フォーラム」IPA 資料公開、内部不正対策ほか

    「経産省 営業秘密官民フォーラム」IPA 資料公開、内部不正対策ほか

  3. 7/30 開催「クラウドセキュリティのシフトレフト」実現 ~ SHIFT SECURITY が CNAPP 導入方法解説

    7/30 開催「クラウドセキュリティのシフトレフト」実現 ~ SHIFT SECURITY が CNAPP 導入方法解説

  4. NECソリューションイノベータが提供する「ゼロトラスト」のレシピと製法 ~ 3/23 オンラインセミナー開催

  5. 開発元にソフトウェアの製造責任を負わせるのは合理的?

  6. 「10年後の予測より今足元にある課題解決」~ 情シス信頼のブランド ソリトンシステムズ Security Days Spring 2024 四講演紹介

  7. アナログゲームで体験するサイバーセキュリティ模擬訓練 ~ インシデント対応ボードゲーム金融版ワークショップレポート

  8. 第20回「情報セキュリティ文化賞」受賞者決定、NTTコミュニケーションズ小山覚氏ほか4名

  9. 電子投票マシンの脆弱性、中間選挙で使用された実機検証で発見された不審な痕跡とは

  10. サイバー攻撃 はじまりはいつも OSINT ~ 日本ハッカー協会 杉浦氏講演

アクセスランキングをもっと見る

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×