マルウェア捕獲後、フリーズドライに？「Black Hat Europe 2014」に参加してきた：セキュリティ業界、1440度（11）（2/2 ページ）

マルウェアを”瞬間冷凍”して”別ホストに移送”する手法

スピーカーマークが付いたネームプレート

　さて、手前味噌ですが、今回私が発表した研究「Freeze drying for capturing environment-sensitive malware alive」についても簡単にご紹介させていただきます。今回私は、高度なアンチ解析テクニックが使われているマルウェアを実行中に停止し、その停止状態から他のホストで再度実行するというテクニックと、そのテクニックを用いたマルウェア捕獲システムのプロトタイプについて発表しました。このプロセスを他のホストに送るテクニックを、オペレーティングシステムの研究では「プロセスマイグレーション」と言います。

　いわゆるWin32アプリケーションをプロセスマイグレーションすることは非常に困難ですが、私の研究では、サンドボックスを使うことでその難しさを緩和し、そのコンセプトをプロトタイプとして実際に実装しました。この研究により、高度なアンチ解析で行われる“ホスト固有の情報を使ったアンチ解析”を緩和したり、ハニーポットにマルウェアを移送し、その動作を詳細に観測したりすることを可能としました。

　私の発表は会期の最後であり、結構な数の参加者が帰り始めている時間帯でしたが、それでも多くの人に聴講していただき、発表後も多くの人からポジティブなフィードバックを頂くことができました。研究に対する生の反応をその場でもらえ、日本からはるばる1万キロ以上を飛んでここまで来たかいがあったと感じる瞬間でした。

筆者の発表の様子

あなたもいつかは「投稿側」へ

　以上が私の目を通した、Black Hat Europe 2014のレポートです。今回紹介した研究は一部にすぎず、AndroidやWebセキュリティに関する定番のトピックや、SDNやScalaのLiftフレームワークのセキュリティなどの新顔まで、多岐にわたる研究が紹介されています。資料も公開されていますので、一度眺めてみてはいかがでしょうか。

　ヨーロッパやアジアで行われる国際会議は、英語が母国語ではない人が多く集まるという意味で、英語が苦手でも比較的コミュニケーションがしやすいという感触があります。いきなりBlack Hat USAに投稿して発表するのは難しいかもしれません、まずは「Black Hat EU」や、「Black Hat Asia」を狙って、投稿してみるのはいかがでしょうか。

コーヒーブレイクで運ばれてきたアイスクリームと冷凍庫。外は12〜13度という少し肌寒い気温でしたが、“アツい”ハッカーたちにはヌルい！ ってことですかね……