藤野の散文-私の暗黙知-

毎日の中での気付きについて書いています

光あるところに影がある。

ウェブ進化論

便利には危険が必ず付いてくる。
もう怪盗ルパンはリアル世界には出現しないだろう。

具体的には、トラフィックのキャプチャファイル(pcap、saz形式)をEKTotalに読み込ませると、MalwareInfosecが公開している「EKFiddle」や、EKFiddleにないデータを含む独自フィルタを使って悪性トラフィックをあぶり出す。
その後、難読化されたJavaScriptコードやマルウェアの暗号鍵などすべて抽出し、暗号化されたマルウェアを復号する。
たとえスキルがあっても面倒なこうした作業を自動で実行し、すぐにマルウェア解析できる状態にしてくれるため、SOCやCSIRT、セキュリティリサーチャーの業務が効率化できる。

新しく、便利に使える技術があれば「これを使って悪事をはたらけば」と考える人が必ずいるものだ。
そういう象徴的な「悪人のいない世界」というのはないものだろうか。

先進国のように「飢え」が主体の問題ではない国でも犯罪は無くならないことを考えれば、どうも「富の多寡」とか「地位の上下」とかがある限り鼬ごっこは続くのだろう。

多分、その「悪事」側に回る人にはある種の射幸心とか「悪の功名心」みたいなものがあるのではないだろうか。
今の体制では自分のパフォーマンスが出しにくいが、違う方向で知恵を使えば役に立つ。
そんなことを悪人たちは考えているのに違いない。
巧妙な悪人は、高い知能の持ち主に違いない。

みんなが知恵をプラスに使うシステムがあればいいと思う。

学生2人組でBlack Hatに登場、自作の攻撃解析ツール披露!
「Black Hat USA 2018」のデモ展示会場で、共同開発したセキュリティツール「EKTotal」をデモする2人組がいた。その学生2人組、小池倫太郎氏と野村敬太氏に話を聞いた。  今年もたくさんの人で賑わったBlack Hat USAのデモ展示会場「Arsenal」。その一角で、軽妙な連係プレーを繰り広げながら共同開発したセキュリティツールをデモする2人組がいた。明治大学 総合数理学部4年の小池倫太郎氏と、東京電機大学大学院 未来科学研究科2年の野村敬太氏だ。    「Black Hatに参加するのも初めてですが、そもそもこういう場でデモ展示すること自体が初めて。1時間は本当に長かった……」。展示終了後のインタビューで、苦笑いしながらも少しほっとした様子の両氏。展示ブースではツールの説明に聞き入る参加者も多く、2週間前からプレゼンテーションの練習をした成果はあったようだ。  【もっと写真を見る】
写真:アスキー
トラフィックからドライブバイダウンロード攻撃を検出、自動解析「EKTotal」
 両氏が共同開発しデモ展示を行ったのは、トラフィックを解析してドライブバイダウンロード攻撃を自動検出するツール「EKTotal」だ。悪名高きエクスプロイトキット「Rig Exploit Kit(Rig EK)」を含む4つのツールによる攻撃と、「Seamless」「Fobos」など10種類以上の攻撃キャンペーンを検出、特定することができ、攻撃に悪用されている脆弱性マルウェアの暗号化に使われている暗号鍵、CVE情報などをレポート表示する。

具体的には、トラフィックのキャプチャファイル(pcap、saz形式)をEKTotalに読み込ませると、MalwareInfosecが公開している「EKFiddle」や、EKFiddleにないデータを含む独自フィルタを使って悪性トラフィックをあぶり出す。その後、難読化されたJavaScriptコードやマルウェアの暗号鍵などすべて抽出し、暗号化されたマルウェアを復号する。たとえスキルがあっても面倒なこうした作業を自動で実行し、すぐにマルウェア解析できる状態にしてくれるため、SOCやCSIRT、セキュリティリサーチャーの業務が効率化できる。

「ドライブバイダウンロード攻撃はやや下火になりつつあるものの、日本を標的としたものはまだ多いですね」と小池氏は言う。自力で攻撃コードを開発できる技術力がなくても、エクスプロイトキットを購入すれば実行できてしまう状況も、なかなか攻撃がなくならない原因のひとつだろう。裏を返せばそうした需要が根強くあるため、新たなエクスプロイトキットが次から次へと登場し、闇市場で流通することになる。

「エクスプロイトキットは流行りすたりが激しいので、膨大なトラフィックデータから攻撃を探り当てるだけでも大変です。さらにコード難読化などの“工夫”も随所になされていて、マルウェアを解析できる状態にたどり着くまでにはいくつもの精査が必要。時間がかかります」(小池氏)

ここでEKTotalを使えば、エクスプロイトキット固有の特徴、攻撃キャンペーンで使われやすいドメインやURLパラメーター、エクスプロイトキットへリダイレクトするためのコードといった情報に基づき、悪性トラフィックをフィルタリングしてくれる。前述のとおり、難読化の解除やマルウェアの復号も自動的に行われるので、マルウェア解析を準備する手間が大幅に簡素化されるわけだ。

それぞれの得意分野を持ち寄り、使いやすく高度なツールを完成
 EKTotalの開発期間はおよそ1カ月。小池氏はEKTotal全般の設計とバックエンドの実装を、野村氏はWebインターフェイスの設計やデザインを担当した。

そもそもの始まりは2017年頃にさかのぼる。セキュリティ・キャンプ修了生のその後の研究や活動を発表、表彰する「セキュリティ・キャンプアワード」において、小池氏は270万以上のWebサイトの侵害状況を調査する脅威インテリジェンスハンティングツール「tomori」と「ayumi」を発表した。最優秀賞を受賞した小池氏は「ドライブバイダウンロード攻撃の動的な解析環境を目指す」と宣言していた。

その後、Rig EKなどのリアルタイム解析ツール「mal_getter」を開発。ヒューリスティック解析エンジン部分をEKTotalに移植して、ツールとしての精度をさらに高めていった。

フロントエンドにもこだわった。

「“インスタ映え”を考えてみました」と冗談ぽく笑うWebデザイン担当の野村氏が目指したのは、わかりやすい情報表示と面白いデザインだ。

「まず情報のわかりやすさについて。リサーチャーは解析ツールのスクリーンショットを貼り付けてツイートすることが多いのですが、画面を見ても必要な情報がすぐにわからないようなツールもあります」。EKTotalは必要最小限の色使いで、ぱっと見るだけでどこに何の情報があるかがわかるよう心がけたと、野村氏は説明する。

もうひとつ、遊び心から攻撃ツールであるRig EKのデザインコンセプトを模してみたという。これが“面白さ”の部分だ。「実際に解析に携わる人であれば、EKTotalの画面を見てフフッと笑ってしまうと思います」(野村氏)。

このほか、たとえば非同期にデータを取得する機能や、ページ遷移のないシングルページナビゲーションなど、今どきのWebアプリケーションで採用される機能もいろいろ盛り込んだ。

フロントエンドとバックエンドを合体させる際の調整作業も入念に行ったという。

「たとえば解析エンジンのデータをAPI経由でWeb側に渡すとき、順番を気にしないのであれば連想配列でいいけど、任意の順番にしたいのであればオーダーを表すキーを追加してほしいなど、細かいところで調整していきました」(野村氏)

リアルタイムなセキュリティ情報発信の重要さに気づき「@nao_sec」開設
 実は前述のtomoriとayumiを開発した頃、小池氏はある思いからTwitterアカウント「@nao_sec」を開設した。現在発生している攻撃キャンペーンなどの情報を、国内外に英語中心で発信する専用アカウントだ。

小池氏は「コンピュータセキュリティシンポジウム」(情報処理学会のコンピュータセキュリティ研究会が主催)で開催されている、マルウェア解析結果を競うコンテスト「MWS Cup」に出場した際に、さまざまな海外のセキュリティリサーチャーの存在を知った。彼らはネットワークトラフィックを調査し、そこで捕捉したマルウェアに“バンキング型トロイの木馬”“ランサムウェア”などとラベル付けしてTwitterで共有していた。

「EKリサーチャー界隈の有名どころだと、パロアルトネットワークスのブラッド・ダンカン氏、マルウェアバイツ・ラボのジェローム・セグラ氏(前述したEKFiddle開発者)、プルーフポイントの@kafeine氏かな」と、小池氏は積極的に情報発信を行う海外リサーチャーの名前を挙げる。「調査して得た情報をただ持っているだけでは意味がない。多くの方に役立ててもらえるよう、自分も情報発信することにしたんです」(小池氏)

今年8月末、小池氏らは初観測されたエクスプロイトキットを「Fallout Exploit Kit」と命名し、Twitterやブログを通じて情報共有した。このFalloutは、Adobe Flash PlayerやWindows VBscriptエンジンの脆弱性を悪用し、不正なWeb広告が読み込まれると勝手にトロイの木馬などをダウンロード/実行させるエクスプロイトキットだ。この第一報を受けて多くのセキュリティリサーチャーが検証を開始し、ファイア・アイの追跡調査によって新たに「GrandCrab」ランサムウェアが仕込まれていることも報告された。nao_secの取り組みがセキュリティ業界全体に貢献し、情報共有を行う意義が示された好例と言える。

情報発信しようと決めたもうひとつの理由は、セキュリティに興味を持って勉強したいと思わせる“旬なネタ”を提供したかったからだ。

「国内でも調査研究は進んでいますが、ホワイトペーパーや調査レポートで詳細が公表される頃には攻撃のトレンドが変わっていることがほとんどです。それだと、現在どんな攻撃が主流になっているのかは現場の人にしか分からず、セキュリティを勉強したいと思っている外側の人にとって、いま何を勉強すべきかが見えてこなくて、関心も薄れてしまうんじゃないかと思うんです」。現場で起きていることをリアルタイムに共有することは、セキュリティに対する関心を高めるきっかけとなり、コミュニティの成長にもつながるはずだと小池氏は力説する。

野村氏も「SECCONやCTF、セキュリティ・キャンプといった取り組みもありますが」と前置きしつつ、セキュリティ分野の何を勉強したいのか見つけるのは難しいと漏らす。「特にセキュリティは、コンピューター科学などの基礎知識の先にある応用分野のため、セキュリティをやりたいと思う最初のとっかかりが見つかりにくい」と分析する。

もっと“いま”を知ってもらえたら、面白さや楽しさが伝わるかもしれない。国内でも、もっとこうした取組みが広がってほしいと両氏は口を揃える。

ドライブバイダウンロード攻撃の次は迷惑メールの解析に「はまっている」
 現在、サイバー攻撃対策技術の研究や製品開発を行うアクティブディフェンス研究所で、“佐倉綾音推しの特任研究員”小池氏と“街の国際バリスタエンジニア”野村氏としてアルバイトしている2人。EKTotalの成果は、日本への脅威に特化した同社の脅威情報配信サービス「Cyber Tactical Database」として活かされている。

今後の活動について「ドライブバイダウンロード攻撃はそろそろ滅びつつあるので、違う分野をやりたいです」と話す小池氏。最近は迷惑メールの解析にはまっていると語った。

国内外の垣根を越えてセキュリティコミュニティに貢献する2人。そんな彼らの活躍に、今後も注目したい。


文● 谷崎朋子 編集● 大塚/TECH.ASCII.jp