第 8 章 結論
8.1 本論文のまとめ
本論文では被害の拡大を続けるマルウェアに対して,新しいネットワークセキュリティ監 視手法を提案し,実装した.
不正な活動をするマルウェアは計算機が登場した黎明期より存在していたが,コンピュー タネットワークや家庭用コンピュータが急速に普及したことにより,犯罪に利用されるよう になった.多くのユーザがネットワーク上で提供されているサービスを使い始めたことから,
ユーザがあつかう情報資産や計算機・ネットワーク資源の価値が高まった.悪意ある人物たち は,マルウェアに感染させた不正に操作できるホストを集め,ボットネットを形成した.ボッ トネットは迷惑メールの送信,サービス妨害攻撃,情報資産の盗難等,様々な社会的被害を 与える一方で,悪意ある人物たちに経済的利益を与える非合法市場を形成した.これによっ て,マルウェアによる攻撃や活動の効率化,巧妙化が加速した.
悪意ある人物たちはボットネットを用いた利益取得を安定させるために,既存のマルウェ ア対策手法を回避,無効化するように戦略を変更している.マルウェア対策として最も普及 している方法は各ホストで動作するウィルス対策ソフトだが,この対策ソフトは個々のウィ ルスについての識別情報を保有し,識別情報に一致したファイルをマルウェアとみなす.そ
のため,False Positiveを起こしにくいという利点はあるものの,新しいマルウェアに対応し
きれないという問題点がある.悪意ある人物たちはマルウェアの生成を自動化し,マルウェ アが持つ機能や難読化のパターンをわずかに変更した亜種を高速に生成している.これは1 つの種類のマルウェアでも一日あたり300種類以上の亜種が発生しており,ウィルス対策ソ フトでは対応しきれていないのが現状である.また,ボットネットを拡大させるための攻撃 手法も変化している.これまでは感染元となるホストから攻撃コードを送るための通信を開 始していたため,ファイヤウォールを用いることによって攻撃コードの送信を防ぐことがで きた.しかし,Webサイトに悪意のあるコードが埋め込まれるという事例が多発し,Webブ ラウザやブラウザのプラグインなどの脆弱性を利用した攻撃も増加している.このような通 信はファイヤウォールで防ぐのが難しく,他にも効果的な対策はない.この他の対策でもマ ルウェアの急速な亜種の発生や,攻撃手法の変化への対応が十分ではなく,マルウェアによ る被害はますます深刻なものになりつつある.
本論文ではマルウェアの対策を考案するに当たり,マルウェアの収集と解析を実施した.マ ルウェアの対策をするためには,マルウェアの詳細な活動記録やマルウェア本体の情報が必
要になる.しかし,これらの情報は悪用可能なものが多く危険性が高いため,一般には公開 されていない.そのため,本研究では独自に収集と解析を実施する環境を構築し,解析結果 を得た.これまで,マルウェアの収集や解析は大規模なテストベッドや専用のネットワークで 実施されていたが,本研究では小規模ながら必要に応じて拡張できる解析環境を構築し,新 しい感染経路によるマルウェアの収集にも取り組んだ.従来の環境では感染元ホストから通 信を開始する種類のマルウェアのみ収集していたが,本解析環境ではWebサイトの閲覧を契 機に感染するマルウェアの収集と解析も実施した.これらの収集されたマルウェアを解析し た結果,両者に大きな違いがあることが明らかになった.前者の能動攻撃型マルウェアは,感 染後に他のホストに感染を拡大させるため,大量の攻撃用通信を開始させる.しかし,後者 の受動攻撃型マルウェアは感染後にも大量の通信を発生させることなく,その振る舞いは一 般のユーザのそれに近い.これまで,マルウェアの対策には能動攻撃型マルウェアが大量に 攻撃用の通信を開始する点に着目されてきたため,受動攻撃型マルウェアの対策に転用する のが難しいと言える.よって,調査結果からは攻撃経路の変化だけではなく,根本的な対策 の見直しが必要であることが明らかになった.
本論文では多くのマルウェア感染ホストを効率的に検知,駆除するために,マルウェアの 活動を検知するネットワークセキュリティ監視に着目した.マルウェア対策におけるネット ワークセキュリティ監視では,検知が他のセキュリティ対策手法と比べてユーザへの干渉が比 較的少なく,利便性の低下が少ない.また,感染対象となるホストから独立して監視ができ るため,ホストがマルウェアに感染した場合でも監視に必要となる情報の完全性に影響が少 なくなる.さらに,一斉に多数のホストを監視できる利点がある.ネットワークトラフィック の監視によってマルウェアの感染ホストを一斉に監視し,検知,駆除することによって,ボッ トネットを構成するマルウェア感染ホストを減少させることができる.これによって,マル ウェアを用いた犯罪の減少へ貢献することができる.
本論文では,マルウェア対策にネットワークセキュリティ監視を用いる際,検知精度,適 応性,追調査の容易さ,処理性能の4点が課題となることをまとめた.1点目はマルウェア の通信を的確に検知するための,精度に関する問題である.ネットワークセキュリティ監視 ではホスト上でマルウェアの活動を監視するのに比べ,検知に利用できる情報が少ないと言 う欠点があり,検知精度が低下しやすい.検知精度が低下することによって,マルウェアの 活動を見逃してしまうFalse negativeや,マルウェアとは関係しない通信を誤検知してしまう
False positiveなどの問題がある.これらが多発するとネットワークセキュリティ監視の負担
が増えて,効果が低下するという問題がおきる.2点目は異なる通信モデルを持つマルウェア が出現した場合,同じ手法で対応できるか,という問題である.マルウェアは時々刻々と新 しい亜種が発生するだけではなく,C&Cサーバや他の感染ホストとの通信プロトコルやアー キテクチャを変更したものが新しく出現している.ネットワークセキュリティ監視による既 存のマルウェア対策でも,特定の通信モデルに依存した手法を用いているものが多く,これ らは新しい通信モデルの出現によって著しく効果が下がってしまうという問題がある.3点
目は検知結果がどのような活動を検知したのかが明確に分かることと,どのような経緯で検 知したのかを追調査できる容易さである.検知結果が出力された場合,対象のホストを調査,
回復しなければならないが,その際にマルウェアのどのような活動が検知されたかが示され ることで,調査,回復の事後対応の手がかりとなる.従来手法において統計的にマルウェア の活動を判定する場合などは,何が契機となってマルウェアと判断したかを見極めるのが難 しいという問題がある.4点目の課題は,ネットワーク全体を一括して監視できるだけの処 理性能の高さである.ホスト上での監視と比べると扱う情報の種類は少ないが,多くのホス トを一括して監視する場合には,監視するホスト数や通信料に比例して処理の負担が増加す る.そのため,実運用環境で用いるためには,一定以上の処理性能と分散可能な処理システ ムが必要になる.
本論文では効果的なマルウェア対策を実現するために,各ホストの通信を俯瞰しマルウェ アの挙動を捉えることによって,変化するマルウェアの形態と頻繁な亜種の発生に対応する ネットワークセキュリティ監視手法を提案,実装した.既存対策を回避のためハーダはマル ウェアの細部を変更した亜種を頻繁に生成,配布するが,マルウェアの挙動は共通する部分が 多い点に着目した.ハーダは新しいマルウェアを生成する際,既存のプログラムコードを再 利用する傾向がある.そのため新しく生成されたマルウェアでも,過去のマルウェアと共通 する動作が多く見られ,これを利用することで新しく生成されたマルウェアも高精度に検知 できると見込まれる.ただし,新しく生成されたマルウェアは部分的な通信内容や,通信の 手順などが変化している可能性がある.よって,本手法ではマルウェアの全体的な挙動を監 視し,細部の変更や通信の発生順序の変化を吸収できる監視システムを構築することによっ て,亜種に対する耐性を向上させることに成功した.
本研究では,マルウェアによる通信を俯瞰することによって,通信内容や活動の順序,通 信の宛先などが変化したとしても検知結果に影響されないマクロな相関関係と,独自に定義 されている通信プロトコルの追跡などができるミクロな相関関係の両者を利用した手法を提 案している.従来の研究ではマクロな相関関係とミクロな相関関係を別々に利用していたが,
本研究ではこの2つを組み合わせることに着目し,より柔軟な検知手法を実現している.こ れは,マルウェアの挙動モデルをテンプレートとして示すルールを用意し,それに基づいて ホストの挙動を追跡するネットワークセキュリティ監視システムとして実装している.本実 装ではマルウェアによる通信を監視する上で重要になると考えられる通信の相関関係を,既 存研究や既存の実装を参考にして取り上げ,それらを包含できるルール記法を実現した.
本手法によって,既存のネットワークセキュリティ監視手法がマルウェアを検知する際の 問題点が克服された.まず,マクロな相関関係とミクロな相関関係を自由に組み合わせられ ることで,検知精度の向上が見込まれる.従来のネットワークセキュリティ監視による問題 の要因として個々の通信内容に着目した検知エンジンを使用しているという点があった.経 済的利益を得るために作成されたマルウェアはより狡猾化しており,通信の一部を切りだし てマルウェアによる通信であるか否かを判断するのが難しくなっている.一方でマルウェア