マルウェアに産業革命

最終更新: 5月8日

(ISC)² Security Congress 2013レポート第一弾。

MALWARE AUTOMATION

Christopher C. Elisan

Principal Malware Scientist, RSA


 近年、マルウェアの数が急増している。これは、マルウェアの攻撃が激しくなってきたことを意味しているのか。半分正解で半分間違いである。マルウェアの数は、送付された数を示しているでのはなく、「新種」として認識されたマルウェアの数を示している。「新種」とは何を意味しているのか。もちろん、全く新しいタイプの未知のマルウェアは「新種」だが、すでに知られているマルウェアと動作は全く同じで、バイナリが違うようなものでも「新種」としてカウントされる。この、「バイナリだけ変えた新種」を作る工程に技術革新があり、大量の新種のマルウェアを簡単に作れるようになった。今まさに、「マルウェアの産業革命」が起こっている。

 マルウェアの製造は3つのステップで行われる。  1つめのステップは、元となるマルウェアの準備だ。もし自分で作るのであれば、様々なDIYキットが準備されている。世の中で最初に作られたDIYキットは「VCL(Virus Creation Library)」と呼ばれるもので、1992年に作成された。これは当時15歳の人によって作成されたものである。プログラミングが苦手な人であっても、DIYキットを使えば、どのような脆弱性を突いて、どのような動作をするかを決めるだけでマルウェアを作ることができる。それもめんどくさいのであれば、このステップをスキップして、売っているマルウェアを買ったり、ありもののマルウェアをそのまま使って次のステップに進んでも構わない。

 2つめのステップは、武装化(Armoring)だ。作ったばかりのマルウェアは、そのままでは簡単にウイルス対策ソフトウェアに検知されてしまうかもしれないし、簡単に動作が解析されてしまうかもしれない。そこで、ファイルを暗号化したり、組み替えたりして検出されないようにするのが武装化だ。この行程を通すだけで、作ったマルウェアはウイルス対策ソフトウェアから検出されなくなくなる。武装化を行うツールには、フリーの物も、販売されているものもある。値段は15ドル程度で、それほど高くない。  そして、最後のステップは品質確認だ。ウイルス対策ソフトウェアで検出されてしまえばマルウェアは期待通りに機能しない。そこで利用するのが、ウイルス対策ソフトウェアで検出されるかどうかをチェックするツールだ。有名なアンチウイルス対策ソフトウェアで検出されるかを一回でチェックできる。ただし、スタティックチェックしかできない点には注意が必要だ。マルウェアの動作で検出するタイプのウイルス対策ソフトで検知されるかどうかはそれぞれ試す必要がある。ツールを使わなくても、マルウェアをWebで確認してくれるサービスもある。ここで確認したマルウェアは、ウイルス対策ソフトウェアベンダーに送るかどうかを指定することができる。もちろん、攻撃に使うマルウェアはウイルス対策ソフトウェアベンダーに送らないように指定した方が良いが、実際のところ、ウイルス対策ベンダーも送られてきたマルウェアを全部チェックはできない。大量に入手する検体から、大口顧客に関するようなものを優先して解析せざるを得ないため、どう指定してもあまり変わらない。  こうやって作ったマルウェアをどうやって感染させるか。残念ながらもうツールは準備されていない。狙った企業が中途採用をしているのであれば、仕事の内容を聞くふりをしてシステムの構成を聞く方法がある。会社の技術者がテクニカルカンファレンスで発表をしているのであれば、参加して直接質問してもいい。会社に所属している人の名前がわかれば、GoogleやSNSで情報を調べることができる。会社の人が何らかのカンファレンスに参加したことがわかれば、その後「参加ありがとうございました」というメールを送れば開いてくれる確率も上がる。  防御する会社にとってこの状況は何を意味するか。送られてくるマルウェアは毎回異なるかもしれない。あるマルウェアを発見し、そのシグネチャをウイルス対策ソフトに設定したとしても、そのマルウェアは2度とやってこないかもしれない。そうなると、シグネチャベースのウイルス対策ソフトウェアは意味を持たない。  ウイルス対策ソフトウェアベンダーにとってはどうか。マルウェアがマルウェアであること、及び、どういう種類のマルウェアであるかを分析することは比較的容易にできる。しかし、そのマルウェアがどのような動きをするかを調べるためには、リバースエンジニアリングが必要で、場合によってそれには数ヶ月かかることもある。つまり、すべてのウイルスの動作を把握することは不可能に近いことを意味する。


小熊

※ セッションでは具体的なツール名も紹介されていましたが、模倣を防ぐために割愛しています。