オンライン公開中の危険な「マルウェアソースコードリポジトリ」、特定ツールを米大学が開発：GitHubの3200万リポジトリから特定

カリフォルニア大学リバーサイド校のコンピュータサイエンスの研究チームが、サイバーセキュリティ向上に役立つツールを開発した。オンラインで公開されている危険なマルウェアソースコードリポジトリを特定できる。

　カリフォルニア大学は2020年11月16日、同大学リバーサイド校のコンピュータサイエンスの研究チームが、オンラインで公開されているマルウェアソースコードリポジトリを89％の精度で特定するツール「SourceFinder」を開発したと発表した。

　この開発プロジェクトの発案者で、博士号を最近同校で取得したアーマド・ダーキ氏によると、IoTマルウェアの急増についてチームで調査していたことがツール開発のきっかけとなったという。マルウェアの基になっているソースコードが公開されていることを発見し、それをきっかけにプロジェクトが始まった。

　マルウェア作者がその種のコミュニティーで信頼を獲得したり、他の作者のマルウェア開発をサポートしたりする目的で、マルウェアのソースコードを公開、共有しているとは誰も想像しておらず、これは驚きだったという。

　研究チームが2020年10月に開催された仮想カンファレンス「RAID 2020」（23rd International Symposium on Research in Attacks, Intrusions and Defenses）で発表した論文によると、マルウェア作者は合法的なソフトウェアの開発者と同様に、開発したソフトウェアをGitHubのような公開アーカイブで共有することがしばしばあるという。

　論文によれば、報告教師あり学習のアプローチを用いて9万7000のマルウェア関連ソフトウェアリポジトリをスキャンし、7504のマルウェアソースコードリポジトリを特定した。

研究チームはGitHubに対してマルウェア関連の137のキーワードで検索して3200万のリポジトリを絞り込み、9万7000のマルウェアに関連したリポジトリを見つけた。最終的に7500以上のマルウェアのソースコードリポジトリを特定した（出典：カリフォルニア大学）

　プロジェクトをリードした同校の博士課程の学生オマー・ファルク・ロコン氏は、「この発表から数日で、さまざまな研究グループからわれわれのデータセットに関する問い合わせがあった。われわれの取り組みが他の研究者に役立つことが分かり、喜んでいる」と語った。

どうやって特定したのか

　論文の第2著者である同校博士課程の学生リスル・イスラム氏は、「マルウェア作者は大抵の場合、さまざまなオンラインフォーラムに張り付いて自分の攻撃ツールを売り込んでいる悪名高いハッカーだと考えられる」と指摘した。