ページの本文へ

Hitachi

企業情報研究開発

スマートフォンやタブレット端末の普及。スマート社会実現への取り組み。家電の通信機能装備。生活環境のネットワーク化が加速しています。しかしそれは、悪意あるソフトウェア、「マルウェア」の侵入経路が無数にあるということでもあります。

マルウェアはあらゆる手段で監視の目を逃れ、侵入してきます。日立はマルウェアによる被害を防ぐべく、解析システムを開発しました。

(2014年8月26日 公開)

マルウェアの巧妙化。守る側に必要なことは

まず、マルウェアとはどういうものか教えてください。

写真「重本 倫宏(しげもと ともひろ)」

重本マルウェア」とは、「malicious software」の略で、「悪意のあるソフトウェア」という意味です。コンピューターウイルスやスパイウェアなどがこれにあたります。昔はそれぞれの名称で呼ばれていたのですが、だんだんその性質が多様化、複雑化していき、定義があやふやになってきました。それで、悪意のあるソフトウェアを総称して「マルウェア」と呼ぶようになったんです。

マルウェアに感染してしまうと、情報漏えいや、システム破壊などが引き起こされてしまいます。ですから、マルウェアの検知・駆除はセキュリティ対策としてとても重要です。ところが最近のマルウェアの挙動は実に巧妙で、検知を逃れようとさまざまな工夫がなされるようになってきました。

例えば、特定の企業などをしつこく攻撃する「標的型攻撃」タイプのマルウェアが増えており、大きな問題となっています。これらのマルウェアは、特定のOSやアプリケーションがインストールされている環境でだけ動くようになっていたり、標的組織への侵入に成功しても、しばらくはおとなしく潜伏するようになっていたりします。そのため、「特に怪しい動きをしないので問題ない」と判断し、放置してしまう危険があります。

また、マルウェアが機密文書に埋め込まれるケースもあります。この場合、外部のセキュリティベンダーに解析を依頼しようにも、機密文書ですから外へ出すことができません。このように、検知・駆除の妨げとなる問題が数多く見られるようになってきました。

図1 巧妙なマルウェアの例(文書感染型マルウェア)
文書感染型マルウェアについて説明した概念図

いろいろな手で検知を逃れようとするんですね。

写真「仲小路 博史(なかこうじ ひろふみ)」

仲小路はい。いまと昔では開発の目的も変わってきているんです。かつてのウイルス開発者は、いかに自身の技術がすごいかを世に示すために開発していたので、ソフトウェアの挙動は派手。できるだけたくさん感染させるという思考で作られていました。

ところがいまは、マルウェアの狙いが金銭の搾取、敵対組織や国への攻撃などに変化しています。攻撃者のプロ化、犯罪化が進んでいるんです。そうすると、挙動は、ゆっくりと、少しずつターゲットに侵入し、気付かれないように悪いことをするものに変わってきました。「ロー&スロー」と呼ばれている動きです。

マルウェアがこのように巧妙化していますから、検知は難易度を増すばかりです。皆さん、パソコンにウイルス対策ソフトをインストールしていると思いますが、ここ数年、ウイルス対策ソフトで新しいマルウェアを検知できる率は、半分程度に下がっているといわれています。

半分、ですか?…なかなか衝撃的な数字ですね。

仲小路インパクトありますよね。半分くらいが、もう皆さんが使っているウイルス対策ソフトでは検知できない。つまり半分は企業やご家庭に侵入してしまっているおそれがあるんです。ですから、今後のマルウェアに対するセキュリティは、「侵入されてしまうことを前提に、『対策』をするべき」といわれています。

重本わたしたちが研究・開発したマルウェア解析システムは、万が一マルウェアに感染してしまった場合に対策できるように、マルウェアと思しきものの挙動を確実に解析し、「対策につなげやすい解析結果」を提供するシステムです。解析は自動的に実施されるので、解析の専門家でなくても、結果を見て対策することができます。

*
Microsoft Office Wordは、米国Microsoft Corporationの商品名称です。
*
Windows PowerShellは、米国Microsoft Corporationの米国およびその他の国における登録商標または商標です。
*
Microsoft OfficeおよびExcelは、米国Microsoft Corporationの米国およびその他の国における登録商標または商標です。

マルウェアを確実に動かす環境

マルウェア解析システムの構造について教えてください。

重本大きな特長として、サンドボックスという、マルウェアを実行させる環境を80種類ほど用意しています。これは、環境を選んで動くタイプのマルウェアでも解析するためです。とにかく動かないことには挙動を把握できません。ですから、OS、インストールされているアプリケーション、物理環境・仮想環境の違いなどで組み合わせを変え、「マルウェアが動きやすい環境」をあらかじめ用意したのです。組み合わせ方の選定にあたっては、社内のマルウェア解析ノウハウを用いたり、ぜい弱性情報の公開サイトなどを調査したりしました。

また、各サンドボックスでのマルウェアの挙動をログとして採取する解析エンジンも3種類使用しています。これも、特定の解析エンジンを感知すると、動かなくなるマルウェアが存在するためです。

仲小路マルウェア解析の専門家は、いままで1環境ずつ手動でマルウェアを動かして挙動を観測していました。マルウェアが動かない場合は、少し環境を変えて試す。それでも動かなければまた環境を変えて試す。この作業を繰り返さなければなりません。しかし、例えばOSをインストールするだけでも結構な時間が掛かるものです。現場の方から、マルウェアを動かすまでの苦労を耳にしていました。それならば、動作環境をできるだけ多く用意しておいて、同時に試せれば楽になるのではと。そう考えたのが発想の起点です。

マルウェアを短時間で確実に動かせる環境を用意できたのですね。

重本はい。ただ、これだけでは環境として不十分なので、さらに疑似ネットワーク環境も備えました。マルウェアによっては、検知を逃れるために、自分が外部と疎通できているかどうかを確認するものもあります。例えば、1回目の通信は、悪意のない普通のウェブサイトにアクセスし、うまく疎通できることを確かめてから、本来のマルウェアの挙動を始めるというようなマルウェアです。そういうマルウェアを動かすために、あたかもネットワークにつながっているように擬似的な応答を返します。これによって、マルウェアに外部と疎通できると思わせ、動かすことができます。

図2 マルウェア解析システムの概要
マルウェア解析システムの概要を示した概念図

写真「仲小路 博史(なかこうじ ひろふみ)」

仲小路実際に解析する様子をちょっとお見せしましょう。システムに投入するマルウェアを選択して、システムに投入しますと…この画面、たくさん小さなウィンドウがありますでしょう。一つ一つがサンドボックスです。いま、それぞれの環境で同時にマルウェアの挙動を観測しています。なにやらアプリケーションが起動したりして表示が変化している画面がありますね。それらが、マルウェアが動いている環境です。変化がない画面は、そのマルウェアのターゲット外ということになります。ただし、今回は画面上にわかりやすく変化が現れるマルウェアの解析をお見せしているため、そのような説明になります。すべてのマルウェアが今回のようにわかりやすい動きをするとは限りません。

このようにマルウェアを各環境で動かしてみて、挙動のログを取ります。観測が終わったら、システムは感染状態になっていますので、自動でクリーンアップされます。そして元の状態に戻り、次のマルウェアを受け付ける、という仕組みです。

レポートは対策しやすさ第一で

多数のサンドボックスでマルウェアを動かしたあとは、どうなるのでしょうか。

仲小路サンドボックスからログが出ていますので、それを自動分析します。ログには挙動のすべてが記されていますし、各サンドボックスから出ていますから量が膨大です。データ量にすると動きの多い活発なマルウェアで10GBくらい出てきます。いま、試しに原稿用紙に換算してみたのですが1250万枚くらいになりますね。当然、そのままのログを読み解くのでは時間が足りません。

重本ですから、ログの中からマルウェアらしさを示す情報を抽出・分析し、レポート表示させる仕組みを構築しました。マルウェアらしい動きの特徴には、いくつかパターンがあることがわかっていたので、そういうノウハウを形式知として集め、パターン化したんです。専門家の方にヒアリングした、分析の観点などのノウハウも取り入れています。

分析結果はどのように表示されるのですか。

重本1画面で、そのマルウェアの挙動の全体像が見渡せるように工夫しています。具体的には、一つのサンドボックスについては1行に表し、どの環境でマルウェアが活発に動いたか、動いたマルウェアについてはどういう特性があるか、1画面で見渡せるようにしました。

仲小路マルウェアは侵入してしまうもの、ということを前提にセキュリティ対策を行いますから、侵入して感染してしまった場合に、被害が出ないように、悪意あるサイトや攻撃者への接続を防ぐという対策を重要視しています。ですから、画面の中心には、そのマルウェアがどこに接続しにいったかについての情報を配置しました。

そして、次に対策者が気にすることは、どんなOS、どんなアプリケーションがインストールされた環境で動いたのかということ。なぜなら、その環境と同じ環境を利用しているユーザーに対し、注意喚起をする必要があるからです。ですから、各環境のレポートについても、見やすい表示を工夫しています。

図3 解析結果表示画面の表示例
マルウェア解析システムの解析結果表示画面の表示例

*
Adobe、およびReaderは、Adobe Systems Incorporated(アドビシステムズ社)の米国ならびに他の国における商標または登録商標です。
*
Microsoft Officeは、米国Microsoft Corporationの米国およびその他の国における登録商標または商標です。
*
OracleとJavaは、Oracle Corporation及びその子会社、関連会社の米国及びその他の国における登録商標です。
*
VMware、VMware vSphere ESXiは、米国およびその他の地域におけるVMware, Inc.の登録商標または商標です。
*
Windowsは、米国Microsoft Corporationの米国およびその他の国における登録商標または商標です。
*
Windows Vistaは、米国Microsoft Corporationの米国およびその他の国における登録商標または商標です。
*
一太郎は、株式会社ジャストシステムの登録商標(商標)です。

環境変化に備え、進化できるシステムを

このシステムを作成してよかったと思う点はなんですか。

写真「重本 倫宏(しげもと ともひろ)」

重本いままで400体くらいのマルウェアを解析してこのシステムを検証していますが、特定の環境でしか動かないマルウェアを実際に目の当たりにすると、多数のサンドボックスで並行して解析するという、このシステムのコンセプトの意義を感じます。

また、いままで解析の専門家が手作業でやっていた一連の作業をすべて自動化したことによって、解析に掛かる時間も大幅に削減されました。手作業では一つの検体に1時間くらい掛かっていた解析が、15分くらいで終わるので、約75%、時間を削減したことになりますね。

仲小路物理的にオールインワンになっているのも魅力です。システムは一つのラックに一式収まっていて、持ち運びが可能なんです。例えば、検体を外部に出すことができない組織にこのシステムを持ち込んで解析する、ということも可能です。お客様に購入いただき、自身で解析していただくこともできますね。機密情報にマルウェアが感染するというケースは増えつつありますから、ニーズは今後増えていくと思います。

重本あと、このシステムによって、マルウェアが確実に動作する環境を特定できることは、従来の人手による解析にとってもうれしいことかなと思います。なぜなら、解析環境をどのように構築すればよいか、その指標になるからです。

現在も取り組んでいる改善はありますか。

重本マルウェア解析システムの解析環境は、一度構築したら終わりというわけではありません。今後も新しいOS、アプリケーションなどが出てくるでしょうから、サンドボックスの調整は続けていく必要があります。解析エンジンも、必要であれば最適なものに替えていきます。

仲小路分析の仕組みも同じで、現在も改善が続いています。新たなタイプのマルウェアが出てくれば、分析の着眼点も変わってくると思いますので、簡単に分析モジュールを追加したり削除したりしやすいようなシステム構成を採用しています。

セキュアな環境への思い

ネットワークセキュリティの研究には、終わりはないのですね。

重本確かにそうですね。今後も新手のマルウェアが次々と出てくるでしょうし、それに対してわたしたちは研究を重ねていかなければならないと思います。ただ、わたしの思いは入社当初からずっと同じです。ネットワークを守るにあたっては、安心安全なネットワークを作るというのが最終目的なんです。マルウェアがない世界。あったとしても、人間の免疫機能みたいにシステムが自律して安全を保つ仕組みで安全が保たれる世界。これがわたしの理想です。

以前別の研究で開発ストーリーのインタビューを受けたときにも同じことをお話したと思いますが、いまも同じ思いを持ち続けています。自分の理想に一歩ずつ近づいていけるように、日々研究を続けています。

写真「仲小路 博史(なかこうじ ひろふみ)」

仲小路わたしの思うところは…セキュリティという分野は、数学が得意でも、プログラムが得意でも対応できない分野だということです。ある意味…言ってしまえばだまし合いです。ずる賢い者が勝つ世界なんだと思います。余談ですが、最近海外から出荷されてきたアイロンに、マルウェアを拡散させるチップが組み込まれていた、という報道がありました。アイロンをコンセントにつなぐと、家庭内、企業内の無線LANを探して接続しにいくんです。そして、不正を働く。…アイロンですよ。びっくりしますよね。でも、そういう世界なんです。

ただ、そこにわたしはこの研究の面白みを…と言っていいかわかりませんが、感じています。「相手がこう出てきたから、裏をかいてこういう対策をしてみよう。」と打った対策に対して、また相手がその裏をかいてくる。その攻防が実にスリリングです。

日立は、本当に幅広い事業フィールドを抱えています。情報系だけではなく、社会インフラなど、さまざまな事業が、さまざまなデバイスやサービスを提供しています。悪意を持って狙われるポイントは無数にあるわけです。どこを狙われるかわからない中、できれば先回りをして、アイデアベースでどんどんセキュリティ対策を考えていかなければならない。そんな使命感に追われつつ、また面白みを感じつつ研究しています。

特記事項

  • 2014年8月26日 公開
  • 所属、役職は公開当時のものです。
  • ページの先頭へ

類似キーワードコンテンツ

  • ページの先頭へ