せきゅぽろ 13

セキュリティ

前回に引き続き、今回も豪華2本立てでした。

マルウェア解析

LAC の新井 悠さんによる、マルウェア解析のお話ですが、まずは時事ネタとして、誤認逮捕で大騒ぎになった iesys.exe に関する話から始まりました。

iesys.exe 自体は、素人の自分から見ても、技術的に見るところがないなぁ、と、思っていたのですが、専門家から見ると、逆に「あり得ない」ぐらい、珍しい物だったようです。

「ここが変だよ、iesys.exe」と題して、次の3つを挙げられていました。

  • .Net Framework 3.5 がインストールしないと動かない(デフォルトのままで動作するのは Windows 7 以降)
  • 通信できないとぬるぽで落ちる。
  • 難読化されてない。

そのほかにも、用意されているんだけど動かない機能とか、まぁ、出来の悪いプログラムだった事は間違いないみたいです。

個人的に興味を引かれた話は、この一連の事件の最初で、CSRF脆弱性を使った書き込みの件です。そのこと自体は知っていたのですが、そもそも、CSRF が使われるのは、金銭が絡む場合やパスワードの変更など、重要な処理がある時に驚異となる、と思っていたのが、必ずしもそうではない事を示す事例だった、という点です。

CSRF 自体、「なんとなく知ってる」という程度で、最近、徳丸本を読んで、ようやく理解出来たところだったのですが、こういう事件に発展するケースがあると、「CSRF 対策するほどでも...」と言っていられないことになるなぁ、と思いました。

後半は、実際のマルウェア解析の話

と言っても、アセンブラとにらめっこ、という話ではなくて、どうやって「怪しい」を突き止めるか、といった事が中心でした。

以前、LAC の西本さんがおっしゃっていた「標的型攻撃はウィルスではない」の通り、一般的なウィルス対策ソフトでは検知されないものですが、それでも、いくつか兆候が見つけられる、ということでした。

一つは、いつもとは違う種類のマルウェアが検出される、という話。本来はプロが使う「ハッキングツール」の類が、一般的なウィルス対策ソフトとではマルウェア扱いされる事がありますが、標的型攻撃のマルウェアが内部ネットワーク内で活動する際に、これらのツールが使われるそうです。で、本来はまっとうなツールが悪用されているだけなので、検出されたとしても「危険度:Low」といった評価で示される事が多く、一見、問題が無いように思えるけど、実は氷山の一角、という事があるようです。

あと、やはり、通常はアクセスしないようなサイトへのアクセスが増える、という兆候があるそうです。以前に Microsoft の小野寺さんもおっしゃっていましたが、外向きの通信で統計を取る、というのは有効そうです。

実際の標的型攻撃に使われるファイル形式としては、実行ファイルを ZIP で固めた物が、意外に多くて4割ほど。残り6割ほどが、PDF や Office のファイルなどの「文書系」が占めるそうです。

実行ファイルは RLO*1 を使った拡張子偽装がよく使われる、とのことでした。

文書系ファイルに関しては、本来はファイルの中に含まれないはずのシェルコードやマルウェアの中身が入っていることになるので、意外に、「このファイルは怪しい」というのは見つけやすい、ということで、そういった「怪しいファイル」に対する、とっかかりとなる調査方法として、いくつかのツールをデモ付きで見せてもらえました。

解析ツールを集めた Ubuntu ベースのディストリビューションの「REMnux」、PDF 解析の「PDF X-RAY」、Office ファイル解析の「OfficeMalScanner」、xor や ror を使ったいった処理での難読化に対して、ブルートフォース解析をする「xorsearch」といった物が紹介されました。

改正著作権法

前回に引き続き、北大の町村泰貴先生が、違法ダウンロード刑罰化で話題になった、改正著作権法の話でした。

改正著作権法に関しては、はてなでの質問に回答できる程度には知っていたのですが、やっぱり、いろいろ「グレーゾーン」があるんだなぁ、という感じでした。

改正著作権法で「写り込み」に関して OK になった、という話があるのですが、じゃぁ、どこまでが OK なのか、というので、先生の奥さんが写っている記念写真の例がありました。

写り込みでは、どっちが主でどっちが従か、という問題があって、全面に建物が写っている点では、建物が主とも言えるけど、真ん中に写っている奥さんが主とも考える。でも、真ん中に写っている奥さんが角になるように写真をトリミングしたらどうか、といった話がありました。

違法ダウンロードの刑事罰化でも、CD は有償だけど、プロモーションビデオは無償、といった具合に、有償・無償の両方がある場合にどうか、という話がありました。これに関しては、音楽の場合は同一性の範囲が広くて、例えば、CD とライブ音源といった具合に、違っているところがあっても同一の音楽と見なされるので、たとえ無料のプロモーションビデオから抽出した音楽でも、有償著作物として扱われることになるだろう、とのことでした。

町村先生のお話が終わった後の質問タイムは、まさに、このグレーゾーンに関する質問のオンパレード。ある方が、アマチュアの人が作った音楽が、後から CD 化された場合は? という質問に便乗して、私も、文化庁は TV 番組は OK と言っているけど、後から DVD 化された場合はどうなるのか、という質問をしました。

基本的に、ダウンロード時点で無償の物は、後から有償になっても、刑罰は問われない、とのことでしたが、でも、ドラマのように、後から DVD 化される事が当然とされるようなものだと、微妙かもしれない、といったお話しでした。

次回は LOCAL とのコラボ

来年1月に、去年もあった LOCAL とせきゅぽろのコラボが予定されているそうです。具体的な内容は追ってお知らせ、とのことでした。

*1:アラビア文字のように、右から左に記述する言語のための Unicode 上の制御文字