特集 予防と治療、どちらが優れているのでしょうか?長い間、世界のサイバーセキュリティ業界は攻撃やコンピュータウイルスに対して反応的に対応してきました。しかし、ランサムウェアが拡大し続けている現状を考えると、より積極的な対策が必要です。
マルウェアワクチンは、ハーグで最近開催されたONEカンファレンスで熱い議論の的となりました。グローバルサイバーセキュリティ企業Recorded Futureのリバーシング・エミュレーション・テストチームのシニアマネージャー、ジャスティン・グロスフェルト氏は、Windows PCに見た目だけの変更を加えることで、マルウェアに感染を諦めさせるコードの開発が可能であることを示す新たな研究を発表しました。
マルウェアワクチンの仕組み
通常、ランサムウェアがWindowsマシンに侵入すると、まずキャッシュメモリ、レジストリキー、ファイルパス、実行中のプロセスをスキャンし、そのシステムがすでに感染しているか、マルウェアアナリストのPC上で動作しているか、仮想マシンのサンドボックス環境で動作しているかを確認します。
これらの兆候が見られれば、ランサムウェアは諦めますが、そうでなければサイバー犯罪者のサーバーにメッセージを送り、ペイロードのダウンロードを開始します。その後、データを盗み、ファイルをロックし、金銭を要求します。
これまで、ワクチンはWindowsシステム上に「感染マーカー」を作成し、マルウェアに感染を諦めさせる、PCに小さなデコイファイルを配置する、レジストリを編集する、偽のミューテックスオブジェクトを作成するなどの方法で機能してきました。
デコイファイルは、実行しても実際には何も行わないため問題は少ないですが、マルウェアがマシン上で現在実行中のプロセスを確認すると、例えば「mal.exe」や「vmware-vmx.exe」が動作しているのが見えて、そのマシンがすでに感染しているか、人気の仮想マシンソフトウェアが動作していると推測します。
レジストリの編集はより深刻な影響を及ぼしますが、Binary Defenseの研究者が2020年にEmoCrashキルスイッチを作成した際など、マルウェアの無効化に成功した例もあります。
研究者のジェームズ・クイン氏は、PowerShellスクリプトを使って「null」データ値を持つ偽のレジストリキーを作成し、バンキングトロイの木馬Emotetをオーバーフローさせてクラッシュさせ、実行不能にしました。
もう一つの例はミューテックス(相互排他)フラグに関するもので、これはWindowsリソースを管理し、ミューテックスオブジェクトを使って一つのプロセスが共有リソースを制御できるようにします。プロセスが終了すると、別のプロセスが制御を引き継げます。マルウェアもペイロードを実行するためにミューテックスを使う必要があるため、ペイロードがすでに動作中だと信じ込ませることができれば、マルウェアは諦めてカーネルにアクセスする前に停止します。これはRecorded FutureがRhadamanthysデータ窃盗マルウェアで行った方法です。
ワクチンはマルウェアファミリーを狙うべき
これらのワクチンは非常に巧妙に聞こえますが、グロスフェルト氏によれば、個々のマルウェアごとにワクチンを開発していては数が足りず、ワクチンファイルが正規のソフトウェアやシステムの動作に干渉する可能性もあるとのことです。
さらに、ワクチンの実装が簡単であればあるほど、脅威アクターが少しコードを変更するだけで簡単に回避できてしまいます。Binary Defenseによれば、同社のキルスイッチは6か月しか効果がなく、Emotetの開発者によって修正されてしまいました。
「次の段階は、複数のマルウェアファミリーに影響を与えるワクチンでなければならない」とグロスフェルト氏は言います。彼とチームの別のメンバーが趣味でマルウェアのリバースエンジニアリングをしていた際に思いついたアイデアは、PowerShellプロファイル内のコマンドをフックし、コマンドを実行するたびに特定の値を返すようにするというものです。その値をリネームできれば、ペイロード実行前に同じ方法でPCをスキャンする複数のデータ窃盗型マルウェアを騙すことができます。
例えば、PowerShellプロファイルを「IsVirtualMachine = true」と書き換えることができます。実際にはPCのオペレーティングシステムには何も変化はなく、仮想マシンソフトも動作していませんが、マルウェアにはそれが分かりません。
この、商用ソリューションとは無関係のほぼ偶発的な研究の結果、マサチューセッツに本社を置く同社は、研究者同士が情報を交換し、ランサムウェアファミリーと戦うためのマルウェアワクチンを作成・提供するオープンソースコミュニティの創設を積極的に検討しています。
これは、SIEM(セキュリティ情報イベント管理)システムのログファイルでサイバー脅威を検知するSigmaルールが、サイバーセキュリティ業界によってGitHubで管理されているのと似ており、非常に成功していると考えられています。
「ワクチンの未来が、こうした大規模な[サイバー攻撃]だけに縛られないことを見てみたい」とグロスフェルト氏は言います。「研究者がこうしたワクチンを発見し、どんどん公開していく、そんな未来を望んでいます。」
なぜマルウェアワクチンは普及していないのか?
マルウェアワクチンは現在、非常に数が少なく、The Registerが取材した専門家全員が1980年代から存在していることを認めているにもかかわらず、ほとんど普及していません。
実際、感染マーカーを開発するというアイデアは2012年にIEEEのジャーナルで発表されましたが、それ以降何も書かれていません。専門家によれば、サイバーセキュリティ業界でワクチンを商用化しようと真剣に取り組んでいる人はいないとのことです。
グロスフェルト氏のチームはマルウェアワクチンについて考え始めてまだ1年ですが、2019年に数社がマルウェアワクチンの商用化を試みたものの、あまり成功しなかったようだと語ります。
「エンドポイント検知・対応(EDR)市場は巨大で、Google、Microsoft、CrowdStrikeなど業界の大手が支配しています。そこに新しい会社が『ワクチンもありますよ』と参入しても、他のEDRベンダーに簡単に飲み込まれてしまうのは想像に難くありません」と彼は述べました。
サリー大学のコンピュータセキュリティ専門家、アラン・ウッドワード教授も同意します。「Microsoftに話を聞くと、Microsoft Defenderは2015年からワクチンを作っていると主張しますが、彼らの考えるワクチンは少し違っていて、必ずしも積極的なものではありません。
「彼らは『シャドウコピー』のようなことをしていて、データを隠すことでランサムウェアが消去しようとしてもバックアップが実際には消えないようにしています。」
シャドウコピーの作成にはレジストリ編集が必要なため、MicrosoftはこれをPatch Tuesdayのアップデートに含めることが多いです。しかし、ウッドワード氏がワクチンだと見なせるのはこの程度で、あとは重大なサイバー攻撃時にサイバーセキュリティ企業が総動員で対応する際に作られるワクチンだけです。
それ以外では、サイバーセキュリティ業界は各社が自社の顧客だけを気にし、新たな脆弱性が発見されるたびにCVEパッチを送るだけという「各自自分の身は自分で守れ」状態に見えます。
これは、他の種類の技術、特に新興技術では、テック企業がコンソーシアムで標準を策定しようと協力するのとはかなり異なります。
業界横断の協力体制はもっと良くできる
「サイバーセキュリティの標準化はまだ初期段階で、国や地域によっても異なりますが、特に業界をまたいだ明確な標準ガイダンスが本当に不足しています」と、ジョージア工科大学サイバーセキュリティ・プライバシー学部の准教授ブレンダン・サルタフォルマッジオ氏は語ります。
彼は、世界中の何百ものマルウェア感染Androidデバイスを分析し、ボットネットに関連するマルウェアを検知し、自動的にワクチンを生成して被害デバイスに即座に配布できる自動ツール「Echo」を開発するラボを率いています。
サルタフォルマッジオ氏は、企業や重要インフラ事業者、政府がサイバー攻撃に関する情報を共有することは「汚点」と見なされ、なかなか進まないと長年感じてきたと語ります。
「確かに、サイバー攻撃につながるミスがあることもありますが、そうでない場合もあります。私たちは皆、そこから学び、その共有知識をもとに標準を作るべきです。現状では良質な共有知識ベースがありません」と彼は言います。
アレックス・ランスタイン氏は、テキサス州のソフトウェア企業StrikeReadyの最高技術責任者で、サイバーセキュリティアナリスト向けに脅威検知やアラート管理に関する全ツールを統合する統合セキュリティオペレーションプラットフォームを開発しています。
彼は業界の協力体制は現状で十分だと感じており、「北朝鮮問題やAPT中国スパイ脅威など、特定のアクターに関しては企業やサイバーセキュリティベンダー間で非常に緊密な協力が行われています。1日あたり数百万件のマルウェアサンプル規模で、主要ベンダー間で共有協定も結ばれています」と述べています。
グロスフェルト氏はより微妙な見解を示しました。「私たちのコミュニティ内では、政府、競合他社、ベンダー間で多くのプライベートなインテリジェンス共有グループが存在します。多くのインテリジェンスが裏で共有されていますが、適切なグループに適切なタイミングでいなければなりませんし、誰もが参加できるわけではありません。
「しかし、公には、主要な脅威インテリジェンスライター間の協力はほとんどありませんし、バックチャネルから得たインテリジェンスも、公に話す前に自分でキュレーションし検証する必要があります。」
では、サイバーセキュリティ研究はもっと積極的になるべきか?
ウッドワード氏は、マルウェアワクチン開発のためのオープンソースコミュニティに賛成ですが、サイバー犯罪者の悪用を防ぐため「オープンソース」ではなく「オープンコントリビューション」であるべきだと考えています。また、大手企業が関与しなければ失敗する可能性が高いと警告しています。
「MicrosoftはWindowsにアンチウイルスを組み込んだことでアンチウイルス業界に終止符を打ちました。アンチウイルスは入手できますが、多くの場合、今や本当に必要とは言えません」と彼は述べました。それでも、OpenSSLのようなオープンソースプロジェクトが良い成果を生んだ例もあり、OpenSSLは暗号化や盗聴防止のための安全な通信、ウェブサーバーの証明書管理などに使われています。
「多くの人が関わるほど、より多くのバリアントを発見できる可能性が高まるので良いアイデアだと思いますが、やはり大手テック企業が配布の担い手になる必要があるでしょう」とウッドワード氏は述べました。
ジョージア工科大学のサルタフォルマッジオ氏は、マルウェアワクチンが現在もっと真剣に受け止められていないのは残念だと考えています。
「マルウェアワクチンの科学的根拠はまだ証明されつつある段階です。私たちのラボでの研究もその一例であり、論文を発表してこの科学が存在し、実現可能であることを証明しています。もっとマルウェアワクチンの研究を進めるべきです」と彼は述べました。
一方、ランスタイン氏はマルウェアワクチンのコンセプトに否定的で、企業ネットワークではあまり効果がないと経験から語ります。「家庭ユーザーならこうした手法を試してもデメリットはありませんし、サイバーセキュリティアナリストが各ワクチンを検証できるリソースのある組織なら問題ありません。
「企業にとっては興味深いアプローチですが、問題全体の十分な割合を解決できるわけではなく、コストに見合いません。」
また、一部の検知マーカー研究はすでに大手アンチウイルスベンダーのソフトウェアスタックに組み込まれているものの、サイバー犯罪者にマルウェア難読化技術を知られないよう、あえて公表していないとも述べています。
サイバーセキュリティの公的資金投入が急務
また、サルタフォルマッジオ氏によれば、サイバーセキュリティ研究やトレーニングへの公的資金投入もさらに必要だといいます。彼のラボは全米科学財団(NSF)、DARPA、海軍研究局の資金提供を受けています。
「私たちはサイバーセキュリティの独裁制に危険なほど近づいています。裕福な人だけの特権にしてはいけません。サイバーセキュリティには本物の科学があり、その科学に資金を提供し、発見を一般公開すること、そして研究室から現場に成果を届ける橋渡しが絶対に重要です」と彼は警告します。
ランスタイン氏も同意します。彼は、アラバマ大学バーミンガム校のゲイリー・ワーナー氏による高く評価されたコンピュータフォレンジクスラボが、資金削減により18年の歴史に幕を閉じたことを「国家的悲劇」と呼びました。
「産業全体が停止状態に追い込まれているのに、私たちは後手に回っています。今年発生したCo-op、M&S、Harrods、Jaguar Land Roverの攻撃のような大規模事件について、なぜ復旧にこれほど時間がかかるのかと人々は問います」とウッドワード氏は述べました。
「サイバーセキュリティの人材育成にもっと資金を投入する必要があります。現状ではリクルーターは火消し役を探していますが、基礎研究を担う人材も必要であり、それは英国全体、そして国際的な問題である以上、公的資金でまかなうべきです。」®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2025/10/21/malware_vaccines/
