マルウェア解析者の知られざる実態
【前編】マルウェア解析者は何を考え、何に悩むのか

標的型攻撃を機に明らかになった、マルウェア解析の重要性

佐藤
コンピューターウイルス、Bot、Warm、DDoS、ランサムウェアなど、サイバー攻撃にはさまざまな種類が存在するほか、特定の組織をターゲットにカスタマイズした攻撃を行う”標的型攻撃”というものが存在します。国内で標的型攻撃が着目されだしたのは、2010年代前半だったと思います。当時いろいろなインシデントが発生しましたが、井上さんはどのように認識していましたか？

井上氏
2011年に国内大手企業に対する標的型攻撃が大きく報じられました。日本企業をターゲットにしたサイバー攻撃が一般の人にも周知されたことは、とてもインパクトがあり、これを機に対策の機運が高まりました。ただ、特定の企業を狙う標的型攻撃は実態把握が難しく、システムへの初期侵入後の攻撃者の挙動も不明でした。

解明のためには、攻撃者が実際に行う攻撃活動を長期的に観測するハニーネット（おとり環境）が必要ということになり、そこから、標的型攻撃誘引基盤「STARDUST＊」の構想が生まれました。「STARDUST」は、NICTが開発・運営する国産のハニーネットのサービスです。主に、マルウェア検体を「STARDUST」の中で実行し、実在の攻撃者の攻撃活動を観測するために利用します。

＊STARDUST：標的型攻撃誘引基盤

佐藤
当時、実在の人物を詐称した巧妙なメールを作成し、受信者を騙してマルウェアに感染させ、そのあとの攻撃を進行していく手法は、大きなインパクトがありました。その後2015年には官公庁でも大きなセキュリティ事案があり、標的型攻撃への対策の必要性はさらに高まりましたよね。

かつては「セキュリティ対策といえばアンチウイルスソフトがあれば大丈夫」とも言われていましたが、今では、それだけでは対策が十分ではないことが広く認識されるようになりました。早いサイクルで新しいマルウェアが出てくるサイバー攻撃の分野では、既存のシグネチャーベース（既知のマルウェアなどの特徴をデータベース化しておき、攻撃があった際に照合する手法）の検知では不十分です。「マルウェアの侵入は”されているもの”」を前提として、いかに早期に攻撃の痕跡を検知するか？を重視すべきという、根本的なアプローチの見直しが求められていました。

そのためには、攻撃者の活動を観測して脅威の特徴情報を抽出するハニーネット、まさに「STARDUST」のような仕組みが不可欠でした。

井上氏
当時、こうした攻撃は、「国家を背景とする“すご腕”のハッカーが仕掛けるもの」で、「とても太刀打ちできない」なんて大騒ぎされていました。しかし、私は研究者として「本当にそうなのだろうか？」という疑問を抱きました。

そこで「STARDUST」で実際に観測してみると、必ずしもそうではないことが分かってきました。サイバー攻撃を仕掛ける側は作業が分担されており、初期侵入を仕掛ける者はマニュアル通りに動く「Initial Access Broker」に過ぎなかったわけです。Initial Access Brokerは、決められた手順に則り粛々とコマンドを投入する初めの実行役であり、決してすご腕のハッカーではありませんでした。そう判断したのは、「STARDUST」での観測を重ねるにつれ、攻撃者の行動が、かなり定型化されていることが分かってきたからです。

しかし、日立さんなどと共に解析して攻撃者に対する解像度が上がるにつれ、そのInitial Access Brokerも知恵をつけて手順書がアップデートされたのか、われわれセキュリティ研究者の観測について、段々と警戒するようになってきましたね。

佐藤
そうですね。攻撃者は、自分が「STARDUST」のようなハニーネットや、サンドボックスの解析環境に接続してしまったことに気づくと、それ以降は、手の内を隠すために動きを止めてしまいます。気づかれるポイントはいろいろありますが、例えば、あまりにシンプルでクリーンな環境などはすぐ見破られてしまいます。

そのため、攻撃者のアクティビティを引き出すには、本物の企業と同等の、まるでその中で企業活動を実施しているかのような「生活感」が必要となります。このあたりのところは、NICTと日立で一緒に作りあげてきましたね。

井上氏
少し遡りますが、2004年ごろから、Botが「自分が解析環境にいるかどうか」をチェックし始め、外部通信ができないと動作を停止するようになりました。これに対抗して、私たちも解析環境の中でインターネットの挙動を模倣するエミュレーターを実装するなどして応戦しました。解析をすり抜ける技術や難読化は高度化し、「既存のアンチウイルスソフトの導入だけではもう危ない、能動的な対応策が必要だ」というのが当時の切実な実感でしたね。

意外と知らない、知られていない　マルウェア解析者の生の姿

佐藤
そのころに比べると、今は解析技術もずいぶん整理され進化しましたよね。解析手法は主に、ファイルの属性情報から既知のナレッジを調べる「表層解析」、実際に動かし挙動を確認する「動的解析」、逆アセンブリしてコードを読む「静的解析」の3つに分かれます。また現在はマルウェアのプログラム単体としての解析だけでは不足で、OSINT＊（オープンソース・インテリジェンス）を駆使した周辺情報の収集や、攻撃の手口などによって攻撃者グループを推察（アトリビューション）することも重要です。このようにマルウェア解析に必要とされる技術は多岐にわたります。それぞれ専門性が高いため、マルウェア解析者同士で得意分野を補完し合うことも多いですね。

＊OSINT（Open Source Intelligence：オープンソース・インテリジェンス）
一般公開されている情報（ウェブサイト、SNS、ニュース、公開データベースなど）を収集・分析し、有用な知見や情報を導き出す手法。元々は軍事・諜報活動で使われていましたが、近年ではサイバーセキュリティの分野でも活用されている。

また、マルウェア解析者は組織の中で「孤高の存在」になりがちで、少数精鋭のため常に多忙です。実態やキャリアパスも謎に包まれています。そこで今回、彼らのモチベーションや課題を明らかにするために、ベテランから若手も含めた国内のマルウェア解析者達にヒアリングしてホワイトペーパー＊にまとめました。

＊ セキュリティ業務におけるマルウェア解析の調査（ホワイトペーパー）

また、今回ホワイトペーパーでのインタビューをまとめるにあたり、調査手法にも特徴があります。「ユーザブルセキュリティ」の専門家が参画し作成したことです。「ユーザブルセキュリティ」とは、人間(ユーザー)を基本にして「ユーザーがどう感じるか」「どう行動するか」に焦点をあててシステムを設計し、より実効性のあるセキュリティを実現しようという比較的新しい研究分野です。その科学的なアプローチを用いてマルウェア解析者の行動や感じ方を調査しました。

井上氏
私がマルウェア解析の研究を始めた2005年ごろは、今以上に解析に関する方法論が確立されていない状態でした。当時、私は日本でもきっての解析者に弟子入りして解析方法を教えてもらったのですが、マルウェア解析について指導できる人材は本当に貴重でした。

現在は、業務としてマルウェア解析に携わる人は増えましたが、現役のマルウェア解析者も他社の手法やナレッジなどを意外と知りません。ですから、現在のスナップショットとして、マルウェア解析者の実態をホワイトペーパーで残し、仕事の意義やノウハウを可視化することには大きな意味があると思います。

また、これからを担う若手にとっては、マルウェア解析のスキルがどうキャリアや社会貢献につながるのかを見えやすくすることにも貢献できたと思います。

マルウェア解析に立ちはだかる課題

佐藤
調査を通して、マルウェア解析に関する課題が見えてきましたよね。一つは「解析環境をどうやって準備するか」です。セキュリティ専業ベンダーならばともかく、それ以外の会社は、技術面でも社内の理解を得るという面でも、自前の解析環境を導入することは非常にハードルが高いということでした。

井上氏
実はNICTも、「STARDUST」立ち上げの際には同じ壁にぶつかりました。国立研究開発法人として政府機関などの情報セキュリティ対策のための政府統一基準に準拠する必要があったのですが、そこには「サーバ装置及び端末に不正プログラム対策ソフトウェア等を導入すること」と明記されています。これではマルウェア検体を保持できず、研究そのものが成り立ちません。

そこで専門家と協議し、「厳しい基準に基づいて管理する限りにおいては保持してもよい」という例外規定を設けることで、ようやく運用の道が開けました。

佐藤
一般的な民間企業の場合、「マルウェア解析することが売り上げや利益にどう貢献するのか」が問われます。それなりの準備をして、事業貢献のロジックを練り上げなければ、導入の承認は得られないと思います。

しかし実際には、マルウェアの挙動を理解することは、システム設計や、脆弱性診断・ペネトレーションテストといった他のセキュリティ業務にも役立ちますし、アラートに対する判断の精度も高まります。「どこにどんなログが残るか」の勘所が分かっていれば侵害範囲の特定にも役立ちます。ITアウトソーシングやセキュリティ監視を手掛けるベンダーにとって、これは明確なメリットです。
近年は、企業のガバナンスが強化されたことにより、自由に実験したり解析できる場が減ってしまいました。企業の全体的なセキュリティを向上するという面では、それは喜ばしいことなのですが、いっぽうエンジニアや研究者としては、そのような場所はやはり必要で、自由に実験して没頭できる場所は、どこかに残しておきたいところです。そうしなければ、なかなか新しいものは出てこないと思います。

井上氏
同感です。データ収集の点でも解析環境は重要です。セキュリティをなりわいにしている企業であれば、マルウェアの解析情報や接続先IPアドレスの情報などをまとめた「脅威インテリジェンス」の作成・蓄積にも直結しますよね。脅威インテリジェンスはそれ自体がナレッジになりますし、アラートを受けて調査する際にも「このIPアドレスへの通信があるから、過去の類似データから原因はこのマルウェアグループだ」と推定できるなど、判断の精度を高めることにも役立ちます。

インシデントレスポンス支援もそうですが、セキュリティのさまざまな場面においてマルウェアの挙動を知っておくことは基本的な技術スキルセットの一つになっていますね。

なお、「STARDUST」については、マルウェア解析するだけでなく、自由に実験できる場として活用している企業もいくつかあります。もちろん日立さんもその一社です。エンジニアや研究者の実験場として「STARDUST」が活用され、それが日本のセキュリティ能力の向上に貢献していることは、NICTとしては喜ばしい限りです。

検体不足で解析が進まない？

佐藤
別の切実な課題も浮き彫りになりました。「マルウェア検体の入手困難性」です。実際に被害に遭った企業は事実を公表したがりませんし、攻撃に使われた検体も表には出てきません。いくら解析したくても、肝心の検体がなかなか手に入らないんですよね。

井上氏
海外のインテリジェンスサービスを使えば既知の検体は入手可能です。ただ、いつ利用料が高騰するか分かりませんし、何より重要なデータソースを海外だけに依存するのはリスクが高い。セキュリティに関するデータが海外頼りでは、この先日本の企業や大学がマルウェア研究に取り組みたいと思っても苦しい状態になるでしょう。

だからこそ、おとりサーバーやハニーネットを駆使して日本国内で自律的にデータを収集・運用する仕組みが必要です。自分たちの手で脅威情報をどのように蓄積するかというのは、今も昔も変わらない課題です。

佐藤
もう一つ、マルウェア解析者が感じている「葛藤」も見えてきました。マルウェアの判定は、「白か黒」とはっきり区別できるケースばかりではなく、実際はそのほとんどが”推察”をベースにした「グレーのグラデーション」の中にあります。　しかし、依頼元に結果を報告する際に、その”推察”をそのまま伝えても理解してもらえず、コミュニケーションのギャップに悩む方が多いようです。「そうした悩みを他社のマルウェア解析者とも共有したい」という声も、今回の調査で多く寄せられました。

井上氏
マルウェア解析で突き抜けた領域まで行く人は自力でハードルを飛び越えていけるのでしょうが、やはり初学者はどこかで「どうしたらいいか分からない」と行き詰まってしまいます。
その壁を乗り越えるため、マルウェア解析者が持つ暗黙知を言語化して記録するなど、コミュニティを通じた情報交換などの機会を作っていきたいですね。

後編では、マルウェア解析者を「共助」でつなぐエコシステムの正体、そして官民連携で挑む日本のセキュリティの未来について語り合う。

「【後編】マルウェア解析は「孤軍奮闘」から「組織間でつながる」世界へ　日立とNICTが官民連携で築く共助の形」はこちら ＞

井上 大介（いのうえ だいすけ）
国立研究開発法人情報通信研究機構（NICT）
サイバーセキュリティ研究所 研究所長 兼務 サイバーセキュリティネクサス ネクサス長
博士〈工学〉

NICTにおいてインシデント分析センター“NICTER”、対サイバー攻撃アラートシステム“DAEDALUS”、サイバー攻撃統合分析プラットフォーム“NIRVANA改”、サイバー攻撃誘引基盤“STARDUST”、Web媒介型攻撃対策プロジェクト“WarpDrive”、セキュリティ情報融合基盤“CURE”など、先進的なセキュリティシステムの研究開発を続けるとともに、社会への実展開を進めている。

佐藤 隆行（さとう たかゆき）
株式会社日立製作所
マネージド＆プラットフォームサービス事業部
エンジニアリングサービス＆セキュリティ本部 セキュリティプロフェッショナルセンタ
チーフセキュリティスペシャリスト

日立のセキュリティコンサルタントとしてお客さまのセキュリティ支援を行う傍ら、国立研究開発法人情報通信研究機構（NICT）内の組織であるサイバーセキュリティネクサスにおいて、さまざまな業種・団体の人々と連携してセキュリティ分野の研究・人材育成に携わる。