連載
» 2016年11月01日 05時00分 公開

セキュリティって奥が深い! 目を輝かせた若者たちの濃厚な2日間セキュリティ・ミニキャンプ in 中国 2016 レポート(後編)(2/2 ページ)

[高橋睦美,@IT]
前のページへ 1|2       

現場ですぐ役立つマルウェア解析の第一歩

エネルギア・コミュニケーションズ 濱本常義氏 エネルギア・コミュニケーションズ 濱本常義氏

 最後の講義はエネルギア・コミュニケーションズ 濱本常義氏による「マルウェア解析(基礎)」だ。マルウェア解析というと、IDA Proなどのツールを用いてバイナリやアセンブリをごりごり読み込んでいくもの……というイメージを持つ人がいるかもしれない。だが「今、一番求められているのはインシデントレスポンスに役立てるためのマルウェア解析。どんな宛先IPアドレスと通信しており、どこをふさげばいいかといった初期対応に必要な情報を知るための表層解析が、現場では求められている」(濱本氏)。

 最近はランサムウェアや、JavaScriptを用いたウイルスが増えており、こうしたものはほとんどウイルス対策ソフトをすり抜けてしまうという。一方で、守る側の企業には、必ずしも専門家がいるとは限らない。そこで同氏は、普通のシステムエンジニアでもこうしたマルウェアを早期に切り分け、封じ込めができる標準的な手法作りに取り組んでいるという。講義ではその一端が紹介された。

 まず手元の端末でのマルウェア切り分けでは、FileInfoListやfte、Process Explorer、Process Monitor、Autorunsといったツールが活躍するという。これらを用いてマルウェア感染によって作成された不審なファイルやプロセスを把握したら、TrIDやCFF Explorer Suiteを活用してどんなファイルか、どんな言語で作成されたのかを特定していく。

 濱本氏はさらに、クラウド上のサンドボックスを活用することで、手軽に静的解析も可能だと説明した。最も著名なVirusTotalはもちろん、Hybrid Analysisやmalwr、ThreatExpertといったインターネット上のサイトを利用することで、高価なサンドボックス製品などがなくてもある程度の解析結果が得られるという。

 講義では、仮想環境上に用意されたAntinnyやランサムウェア、JavaScriptで書かれたマルウェアのサンプルを実際に動かして挙動を観察し、分析して特徴を抜き出していく実習も行われた。濱本氏が「Windows上では偽装ファイルが見えないこともあるが、DOS窓ならば比較的見えやすい」とアドバイスしたところ、「DOS窓……? MS-DOSのDOS?」とジェネレーションギャップを感じさせるつぶやきが受講者から漏れるシーンもあった。

 「マルウェアを全て人の目で見るのは難しい時代。それよりも、インターネット上の解析サイトに放り込むことで、手軽にマルウェアの通信先が分かり、そのURLやドメインをフィルターすることで、活動を止めることができる」と濱本氏。ただ、こうした方法はあくまでマルウェア解析の“さわり”であり、これを機に、より深い解析やOSの構造の理解につなげていってほしいとも述べた。

2017年の全国大会に、これからの勉強につながる内容

 2日間にわたる専門講義は、量もさることながら、質の面でも高度な内容が含まれていた。ある受講者は「付いていくのが大変だったけれど、まだいろいろと足りないことが分かった」「来年の全国大会には、ぜひ参加したい」と、大いに刺激を受けたようだ。

 高知工科大学の合田亮登氏は、「無料で使えるソフトやサイトを使って、マルウェアを解析できることが分かって役に立った」と振り返っている。合田氏は大学で、セキュリティに関する啓発や勉強会を開催する同好会「CyKUT」を設立し、高知県警と連携しながら活動している。「ここで知ったマルウェアの危険性や背景を、これからの勉強やサークル活動に生かしたい」という。

 また広島市立大学の家平和輝氏は、車のセキュリティに興味を持ってミニキャンプに参加した。「将来は、自動運転の実用化に携わっていきたいと考えている。安全な自動運転の仕組みを作り出すため、これからどんな勉強をしていけばいいかが分かってきた」と述べた。2日目の講義でオープンソースソフトウェアのコードを読み込んだことも「今までやったことがなかったので、良い経験になった」と振り返っている。

 上野氏は「セキュリティ・キャンプの目的は人の発掘だ。人にできないことをやってのけ、セキュリティの世界を一変させてくれるようなスーパーハッカーだけではセキュリティは達成できない。セキュリティ人材を育てる人、そして各業界のセキュリティスペシャリスト候補も増えていく必要がある」と述べる。

 その意味で、キャンプの卒業生が講師やチューターとして活躍し始めていることにも、大きな意味があるといえるだろう。今回受講生のサポートに当たったチューターの1人は、「手を動かして教えると、分かっていたつもりで分かっていなかったことに気付けた」と述べている。

 上野氏はまた「セキュリティのことしか知らない人間を育成しても、ただうるさいだけの人になってしまう。現場のことや業界の専門性を知った上で、セキュリティの知識と志を持った人が、各業界に行ってもらうことが大切」(上野氏)。例えば、東京以外の各地でセキュリティの重要性を説き、啓発活動に当たる人が増えることも重要だ。ミニキャンプにはその素地の1つとなることも期待されている。

前のページへ 1|2       

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。