「マルウェア完全に理解した」キヤノンマーケティングジャパン社マルウェアラボのお仕事 | ScanNetSecurity
2021.10.27(水)

「マルウェア完全に理解した」キヤノンマーケティングジャパン社マルウェアラボのお仕事

キヤノンマーケティングジャパン株式会社(キヤノンMJ)は 3 月初旬に開催されるセキュリティカンファレンス「SecurityDays Spring 2019」で、2018 年のサイバー攻撃の総括と、2019 年の動向を予想する講演を行う。登壇するのは、同社マルウェアラボ、池上雅人氏だ。

研修・セミナー・カンファレンス セミナー・イベント
「(マルウェア解析には)目が覚めるような達成感がある」 キヤノンマーケティングジャパン株式会社 マルウェアラボ 池上 雅人 氏
「(マルウェア解析には)目が覚めるような達成感がある」 キヤノンマーケティングジャパン株式会社 マルウェアラボ 池上 雅人 氏 全 1 枚 拡大写真
 キヤノンマーケティングジャパン株式会社(キヤノンMJ)は 3 月初旬に開催されるセキュリティカンファレンス「SecurityDays Spring 2019」で、2018 年のサイバー攻撃の総括と、2019 年の動向を予想する講演を行う。登壇するのは、同社マルウェアラボ、池上雅人氏だ。

 キヤノンMJ のラボは、チェコスロバキアのアンチウイルスの雄 ESET 社の研究所仕込みの技術力を持つ 7 名の精鋭部隊。講演に先立ち、池上氏に見どころやマルウェアラボの取り組みについて話を聞いた。

――さっそくですが、3 月 7 日(木) 午前 9 時 35 分から東京で行われる池上さんの講演ですが、どんな内容になる予定ですか(大阪講演は 3 月 1 日(金) 午前 11 時 35 分から)。

 キヤノンMJ が公開しているマルウェアレポートをベースに、統計的な概要をまずお話します。その中で、データから見られた特徴や傾向を分析し、2019 年度のサイバー攻撃動向について考えてみたいと思っています。

――2018 年の傾向はどう分析していますか。

 トピックは 2 つあると思っています。ひとつは、仮想通貨に関連した脅威、2 つめはばらまき型攻撃の進化です。

 1 つめの仮想通貨に関連した脅威では、2018 年の上半期に猛威を振るったコインマイナーや仮想通貨の盗難事案をはじめ、下半期に観測されたセクストーション詐欺と呼ばれる攻撃手法をご紹介します。セクストーション詐欺とはメール受信者のプライベートな映像を撮影したと脅迫し、それを削除する対価に仮想通貨などを要求する犯罪手口です。実際に弱みを握られているとメール受信者に信じさせるために巧妙な手法が用いられています。仮想通貨の価格が下がった影響か、ピーク時に比べると仮想通貨に関連する攻撃は落ち着いていますが、未だ攻撃者にとって魅力的な資金源であることには違いありません。

 2 つめのばらまき型攻撃については、手法が巧妙化しています。メール添付では、あまり一般的ではない IQY ファイル(エクセルを起動させるファイル)を偽装したマルウェアが報告されています。ラボにおいても、昨年秋ごろに、画像ファイルにマルウェアが埋め込まれている、ステガノグラフィの事例を確認、解析しました。

 アイコン偽装だけでなく、ビューワーで画像表示もされるように擬態しているので、検出が簡単ではありません。画像ファイル以外、音声や動画ファイルでも同様な擬態が可能なものです。確認されたコードは、PowerShell のスクリプトやローダーなどです。そこからエクスプロイトやボットなどをダウンロードするようです。ばら撒き型ですが、標的型攻撃のような段階を踏む、手の込んだ攻撃になっています。高機能なライブラリを手軽に入手できるようになったことがその背景にあるのではないかと思います。

 他にもワードやエクセルのマクロを利用したマルウェアの検出も目立ちました。我々が検知したマルウェアの 12.1 %、1 割以上がマクロウイルスでした。マクロウイルスは古くから存在するマルウェアですが、マクロ、JavaScript、VBS といったスクリプト系マルウェアの流れの中で、忘れられたころに増えるという周期があるのかもしれません。

――現在キヤノンマーケティングジャパン株式会社のマルウェアラボは 7 名体制と聞きました。みなさんどのような活動をしているのですか。

 マルウェアの解析といっても、具体的な作業はイメージしにくいかもしれませんね。基本的には検体のコードや動作を解析するのですが、使っている環境はそれほど特殊なものではありません。解析にはネットから隔離された環境が必要ですが、仮想化環境を用意して分析を行うこともあります。解析ツールには、オープンソースのソフトウェアを使うこともあります。

 簡単な解析環境なら、PC と標準的なツールがあればすぐに構築できます。しかし、当然それでは解析しきれない相手もあります。標準ツールでかわらないものは、高機能なツールを使って時間をかけて分析します。

――どうなったときに「そのマルウェアが解析できた」と自信を持って言えるんですか?

 何をもって解析ができた、という明確な基準はありませんが、自分の中ではパズルを解いたような感覚に達することがあります。たとえばランサムウェアの復号方法を突き止めたりすると目が覚めるような達成感があります。また、復号できなくても、送金先を特定できたり、通信先のサーバーを突き止めたりしたときも、ひとつの区切りになります。

 海外では、大学でバイナリファイルの解析講座などありますが、日本ではあまりこういう技術を学ぶ機会がありません。だから多くは独学で学びツールを駆使して正解にたどり着きます。パズル好きの人には向いているかもしれません。ラボにもそんな人がいます。

 ただ、パズルと実際のマルウェアが違うところは、タイミングや時間との闘いになることがあることです。通信先を見つけても、すでに C&C サーバーがなくなっていたら、どの情報が漏れたのかがわからなくなったりすることがあります。

――まるで変化し続ける迷路のようですね。ラボの今後の活動について何かプランはありますか。

 キヤノンMJ のマルウェアラボは、設立してまだ日が浅かったので、これまでは全般的にマルウェアの解析、検体の調査を行ってきました。しかし最近は、私を含めた解析スタッフが、それぞれのテーマで解析を進めています。各自の得意分野、得意なマルウェアの種類ごとに分析を深めています。たとえば、エクスプロイトキットに強い解析スタッフ、ランサムウェアの専門家といったイメージです。

 現在は、マルウェア解析に特化しているラボですが、将来的にはテンペスト、フォレンジックスといった専門家を増やし、活動範囲を広げていきたいと思っています。

――池上さん自身の個別テーマを聞いていいですか。

 私は自然言語処理に興味があります。大量のビッグデータ、非構造化データから脅威情報を抽出する技術です。ネット上の大量の文字情報をテキストマイニングや言語処理することで、特定の脅威、攻撃などのコンテキストを抽出し、予防や対策に役立てます。

 これらのデータ解析を専業で行っている事業者もありますが、これを自分達で収集、構築できないかと考えています。

―― OSINT やサイバーインテリジェンスにつながる研究ですね。

 そうです。データの収集ツールや機械学習などの知識も必要になります。Black Hatなどの国際カンファレンスで論文の発表ができるレベルまで高めたいと思っています。

――ラスベガスの Black Hat USA の会場で、壇上に立つ池上さんを見るのを楽しみしています。ありがとうございました。

《中尾 真二( Shinji Nakao )》

関連記事

この記事の写真

/
PageTop

特集

アクセスランキング

  1. 埼玉大学の学内サーバへ不正アクセス、PCの脆弱なパスワードが原因に

    埼玉大学の学内サーバへ不正アクセス、PCの脆弱なパスワードが原因に

  2. 三菱電機管理のネットワークに海外から不正アクセス、顧客に関する情報の一部が流出

    三菱電機管理のネットワークに海外から不正アクセス、顧客に関する情報の一部が流出

  3. 群馬大学のメールサーバが踏み台に、約57万件の迷惑メールを送信

    群馬大学のメールサーバが踏み台に、約57万件の迷惑メールを送信

  4. PPAPの運用失敗、パスワード通知メールに名簿を添付したまま送信

    PPAPの運用失敗、パスワード通知メールに名簿を添付したまま送信

  5. 若手社員の半数以上「情報漏えいより締め切りが大切」IT部門との確執浮き彫り

    若手社員の半数以上「情報漏えいより締め切りが大切」IT部門との確執浮き彫り

  6. 東京2020で約4.5億回のセキュリティイベントに対処した“NTTの貢献”

    東京2020で約4.5億回のセキュリティイベントに対処した“NTTの貢献”

  7. 廃棄文書をトラックで運搬中に段ボール箱6箱が落下、遺失物として連絡あり発覚

    廃棄文書をトラックで運搬中に段ボール箱6箱が落下、遺失物として連絡あり発覚

  8. 徳島県国民健康保険団体連合会が専用回線で誤送信、再送信処理でのシステム仕様に問題

    徳島県国民健康保険団体連合会が専用回線で誤送信、再送信処理でのシステム仕様に問題

  9. GhostScript において任意のコードが実行可能となるディレクトリへのアクセス制御不備の脆弱性(Scan Tech Report)

    GhostScript において任意のコードが実行可能となるディレクトリへのアクセス制御不備の脆弱性(Scan Tech Report)

  10. proofpoint Blog 第6回「そのサンドボックス運用にはご注意を! BCCモードのサンドボックス解析による大きなリスク」

    proofpoint Blog 第6回「そのサンドボックス運用にはご注意を! BCCモードのサンドボックス解析による大きなリスク」

ランキングをもっと見る