ブルーチームの新ツール 難検知ランサムウェアの発見 | ScanNetSecurity
2024.07.13(土)

ブルーチームの新ツール 難検知ランサムウェアの発見

 ブルーチーム防御に一筋の光ともいえる発表が、2022年の Blackhat USA、CODEBLUE などで行われた。中国 TXOne Networks の研究チームが、シンボリック実行にニューラルネットを応用した解析ツールを開発した。

研修・セミナー・カンファレンス
さまざまなランサムウェア
  • さまざまなランサムウェア
  • 悪性実行のコード検知
  • 実際のファイルでの検知
  • TCSA が検知したマルウェアファミリー
  • REvil の検知デモ

 ランサムウェアの検知は容易ではない。まず、ひとくちに「ランサムウェア」といっても種類やタイプがさまざまだからだ。またネットワークストレージを含むファイルシステム全体にわたって被害(暗号化)を及ぼすなど、OS の深いレベルへの攻撃を行うのもやっかいだ。

●レッドチーム・ブルーチームの攻防

 ランサムウェアの種類は「WannaCry」を始め、「Ryuk」「EKANS」「Conti」「LockBit」「REvil」など報道等で見かけるものだけでも 10 では効かないだろう。

 OS やソフトウェアの脆弱性を巧みに利用し、ファイルシステムにアクセスするということは、ログや監視の目を欺く能力も持っていることになる。亜種も多く、コード自体も難読化されていたり、発動前の発見は困難を極める。隠密行動に長けたマルウェアに対しては、基本的な予防策(ファイルバックアップを含む)に加え、地道な監視活動が欠かせない。SOC や CSIRT における重要任務のひとつだ。

 一方で、通常の CSIRT 業務やレッドチーム・ブルーチームでいえばブルーチームに相当する、企業で防御を行う側で、マルウェアの詳細を解析できるスタッフを擁する組織は多くない。

 マルウェアと思しきファイルを見つけても、本当に悪性のものか、どんな動きをするのかを解析するには、バイナリの知識、ディスアッセンブル、レジストリや OS の API の知識、そして解析スキルが必要だ。

 一般に、サイバーセキュリティにおいて防御側は攻撃側より不利だとされる。受け身にならざるを得ない防御側(=ブルーチーム)より、攻撃側(=レッドチーム)はイニシアティブをとりやすい。

 そのブルーチーム防御に一筋の光ともいえる発表が、昨 2022 年の Black Hat USA 2022 や CODE BLUE 2022 などで行われた。中国 TXOne Networks社の研究チームが、シンボリック実行にニューラルネットを応用した解析ツールを開発した。そのツールと手法を、猛威をふるうランサムウェア群に適用した実験結果を論文としてまとめている。

● 3 つの論文がベースとなったマルウェアの悪性解析ツール

 彼らの研究は「事前検知が困難なランサムウェアを効率よく見つける方法はないか」という動機から始まった。

 研究は、3 つの論文がベースおよびきっかけとなっている。ひとつは 2005 年のセマンティックマルウェア検知に関する IEEE シンポジウムで発表された論文(Semantics-Aware Malware Detection (IEEE Symposium on Security and Privacy 2005) )である。


《中尾 真二( Shinji Nakao )》

編集部おすすめの記事

特集

研修・セミナー・カンファレンス アクセスランキング

  1. 「経産省 営業秘密官民フォーラム」IPA 資料公開、内部不正対策ほか

    「経産省 営業秘密官民フォーラム」IPA 資料公開、内部不正対策ほか

  2. 開発元にソフトウェアの製造責任を負わせるのは合理的?

    開発元にソフトウェアの製造責任を負わせるのは合理的?

  3. reject(拒否)へのいばらの道を進むには ~ 日本プルーフポイント「DMARC Conference 2024」レポート

    reject(拒否)へのいばらの道を進むには ~ 日本プルーフポイント「DMARC Conference 2024」レポート

  4. 攻撃者のあの手この手、リアルな攻撃&リアルな現状を知る専門家が警鐘を鳴らす ~ JPAAWG 6th General Meeting レポート

  5. 8/8・8/9 セコムトラストシステムズ「IDaaSでここまでできる!」ウェビナー開催 ~ 便利機能 注意点 MFA 製品別特長 ほか

  6. 被告:CISO ~ 実例で考える CISO が訴訟されるリスク

  7. 7/30 開催「クラウドセキュリティのシフトレフト」実現 ~ SHIFT SECURITY が CNAPP 導入方法解説

  8. Internet Week 2015 セキュリティセッション紹介 第7回「マイナンバーと改正個人情報保護の基礎と最新動向」についてグリーの橘俊男氏が語る

  9. 「野蛮さ」に見え隠れする「洗練」、ベネズエラ軍翻弄したサイバー「マチェーテ(山鉈)」とは

  10. 汚染された Tor ブラウザ、狙われるダークウェブ利用者

アクセスランキングをもっと見る

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×