ネットワークセキュリティ監視によるマルウェア対策の問題点

これまで，ネットワークセキュリティ監視の分野ではIDSを中心とした手法によってイン シデント検知に取り組んできた．しかし，マルウェアの狡猾化にともなってネットワークセ キュリティ監視による検知も困難になってきている．

4.3.1 特徴的な通信内容や通信傾向の排除

単純なパターンマッチによってマルウェアの活動を検知されないようにするため，多くの マルウェアでは標準化されたプロトコルを用いたり，特徴的な文字列，データ列を排除する ようになった．多くのマルウェアではIRC^やHTTPといった標準化されたプロトコルによっ

てC&Cサーバやマルウェア配布サーバと通信し，コマンドの受信や新しいマルウェアの取得

をおこなっている．さらに第3.2節でも取り上げている通り，Webサイトの閲覧を契機とし て感染する受動攻撃型マルウェアでは通常のWebサービスで見られるようなHTTP^のURL や変数名を用いて通信している．マルウェアの通信に出現する特殊な文字列やデータ列に基 づいて検知をしていたネットワークセキュリティ監視手法は，シグネチャを調整しても検知 精度に影響がでてしまう．

4.3.2 通信の発生規則の変化

近年のマルウェアでは通信内容の発生する規則が状況によって変化するため，単純なパター ンマッチによる検知手法と同様に検知が難しいという問題点がある．マルウェアは亜種の生 成が容易になっているため，非常に頻繁に新しい亜種が発生する．亜種は全体的な機能に大 幅な変化はないものの，細部の機能が調整されていたり，必要に応じたモジュールが組み込 まれているなどの変化がある．さらに，ボットネットに参加しているマルウェアはC&Cサー バから受け取ったコマンドによって，活動する内容が異なり，それにともなって通信内容も 変化する．したがって，通信の発生規則は亜種の発生や状況に応じて変化すると言える．

パターンマッチによるネットワークセキュリティ監視手法を補助するため，複数の文字列 やデータ列の出現規則に基づき，インシデントを検知する手法が挙げられる．しかし，この ような通信の発生規則が変化した場合に追従できなければ，検知精度を維持するのは難しく，

False negativeの原因となってしまう恐れがある．

4.3.3 新しい通信モデルの出現

マルウェア開発者も持続的に新しい種類のマルウェアを開発しているため，新しい通信モ デルのマルウェアも徐々に出現している．顕著な例の1^つが第3.2節の能動攻撃型マルウェア と受動攻撃型マルウェアの違いだと言える．能動攻撃型マルウェアは半数以上が高速にTCP のSYNパケットを送信したり受信データサイズに対する送信データサイズの量が大きいな ど，特徴的な傾向があるのに対して，受動攻撃型マルウェアは一般のユーザと類似した通信 内容に変化している．能動攻撃型マルウェアが2005^年から“Know your enemy”[44]^で解説さ れていたのに対し，受動攻撃型マルウェアは2007年のProvosらの調査報告である“The ghost in the browser analysis of web-based malware”[9]によって注目を集め始めたことから，能動攻 撃型マルウェアから受動攻撃型マルウェアへの通信モデルの変化が起きていることを示して いる．

こうした通信モデルの変化は，ネットワークセキュリティ監視による検知にも大きな影響 を及ぼす．これまでに提案されてきたネットワークセキュリティ監視によるマルウェアの検 知手法では，定義したマルウェアの通信モデルに基づいて検知する手法も多い．しかしそれ らの手法では，新しい通信モデルが出現する度に新しい検知手法を考案する必要がある．そ のための調査だけではなく，モデルの作成などにかかる時間や手間を考慮すると，近年のマ ルウェアに対応していくのは困難であると考えられる．

4.4 ^関連研究

ネットワークセキュリティ監視による対策を提案するに当たり，関連研究を調査した．Network Security Monitor^以降，Snort^{をはじめとする}IDSの実装や関連する技術が研究，開発されて

きた．しかし，現状のマルウェアを対策する上では様々な問題がある．また，ネットワーク セキュリティ監視の他にもホスト上でマルウェアの挙動を監視する研究についてまとめる．

4.4.1 既存のIDSとその改良

IDSは最も一般に普及しているネットワークセキュリティ監視手法である．ルールによって 検知するべきネットワークトラフィックを具体的かつ簡易に記述でき，検知の要因がどのよう な事象であったかを容易に判断できるため，運用が比較的容易だったという背景がある．し かし，現在普及している最も基本的なIDSは，単一のパケットや単一のセッションに出現す るパターンを検査するシステムとなっている．そのため，定型のパターンが通信に含まれる ソフトウェアや攻撃コードの検知は容易だが，わずかでもパターンが変化すると検知できな くなるというFalse negativeの問題がある．また，監視しているホストの性質や通信の前後関 係などとは関係なく，パターンと合致した場合には悪意ある活動を検知したと解釈して，警 告を発行する．そのため，偶然に検知対象のパターンがネットワークトラフィックに出現し た場合はFalse positiveが発生してしまう．このようなFalse negative，False positiveが発生し やすいことから，現在のIDSはマルウェア対策に適した対策手法であるとは言い難い．

このような問題を解決するため，これまでに，通信の状態遷移を利用したシグネチャを利 用して検知精度を高める手法としてはNFR[45]^やNetscreen-IDP^のStateful signature[46]^にお いて実装されている．また，ネットワークサービスに対する要求と応答の組み合わせを見る ことで検知した事象のリスクを評価できる手法を藤田が“侵入検知ポリシの記述性向上によ りログ出力量の低減を可能とした不正アクセス処理システムの開発”[47]^{において提案して} いる．さらに，Sommerらは“Enhancing Byte-Level Network Intrusion Detection Signature with

Context”[48]においてプロトコル上の要求と応答をルールに組み込めるようにしている．こ

れらは個々のセッション毎の状態遷移と，各状態において検知に利用する不正な通信のパター ンを定義できるため，通信に特徴が少ないマルウェアを検知する場合でも複数の条件を組み 合わせて設定可能となり，検知の精度が向上する．しかし，定義できるパターンは個々のセッ ションに限られるため，対応できるパターンに限界がある．

4.4.2 イベント相関分析

従来のIDSやその他の機器から得られた検知結果を1つのイベントとして扱い，発生順序 によってイベントを関連づけし，新しいイベントを検知する手法をイベント相関分析と呼ぶ．

関連づけする方法はルールに基づく方法と，アルゴリズムに基づく方法がある．ルールに基づ く方法としてはログファイルからイベントの発生順序を抽出する“SEC - a Lightweight Event Correlation Tool”[49]や，ネットワーク上のイベントを関連付ける．“STATL: An Attack Lan- guage for State-based Intrusion Detection”[50]^，“NetSTAT: A Network-based Intrusion Detection

Approach”[38]が挙げられる．アルゴリズムに基づく方法はイベントをクラスタリングする

“Clustering intrusion detection alarms to support root cause analysis”[51]^{が挙げられる．これは}

OSSIM[52]やArcSight[53]などにおいて，実現されている機能である．相関分析では予め設

定したルールやアルゴリズムに基づいてイベントを検知する．Argus[54]^{で取得した通信の送} 信元・宛先IPアドレス，プロトコル，ポート番号のような部分的な情報を記録しており，こ れらもイベント相関分析に利用できる．単独では脅威とならないイベントでも，複数のイベ ントを関連づけることで，脅威となるイベントを検知できる可能性がある．

ただし，イベント間の関係を示すための柔軟性に欠ける部分がある．ルールを基にした多く の実装では基本的にイベントの発生順序に着目している．OSSIMやArcSightなどのルールを 基にした検知では，イベント間の関係を逐次的な発生順序と1つのイベントの繰り返しによっ て表している[55, 56]．そのため，複数のイベントのいずれかが発生したという状態，もし くは全て発生した状態などを表現するのが難しくなってしまう．“Modeling network intrusion detection alerts for correlation”[57]^{ではイベントを}require, provideという二つの状況に分けて 分析をしている．しかし，情報の取得と取得した情報に基づいた行動が組み合わせて起きる という前提であるため，複雑なルールは記述できない．また，アルゴリズムに基づく場合も，

イベントの傾向が変化してしまうと柔軟に対応するのが難しい．

相関分析は情報の収集を他のイベント検知機構に依存しているため，詳細な調整が難しい という問題がある．そのため，本来の検知対象とは直接関係しない事象を利用して検知しな ければならない場合があり，精度に影響を及ぼしてしまう可能性がある．

他にもSnort[19]では，あるトラフィックパターンの出現が繰り返された場合にセキュリティ

イベントの検知と見なすルール[58]が記述できる．これは基本的に同じトラフィックパター ンの出現回数を監視する．これはマルウェアの感染活動の繰り返しを検知できる可能性があ る．ただし，単一パターンの繰り返ししか表現できないため柔軟なルールを書くのは難しく，

複雑な挙動を正確に検知するのは困難である．

4.4.3 マルウェアの活動モデルに基づいた検知手法

マルウェアの亜種を検知する手法として，通信傾向を統計的にモデル化し検知する手法が 挙げられる．第3章でも述べた通りマルウェアの亜種には共通する動作があるため，マルウェ アの系統ごとにシナリオを用意し，それに適合したものを検知する手法である．主に統計的 解析手法と振る舞い型検知手法が挙げられる．

統計的解析手法はネットワークトラフィックやホストの活動から異常を検知し，セキュリ ティイベントを出力する．これはマルウェアなどマルウェアを検出するための手法として用 いられる．統計的解析手法の利点は未知のマルウェアでも検知できる可能性を持つ点である．

トラフィックパターンに基づいて検知をしているIDSでは，パターンが僅かに変化しただけ

でもFalse Negativeを起こしてしまう．統計的解析手法では統計的処理などによって得られる