Research News

マルウェア実行監視・検知

- 不正プログラム実行制御技術WhiteEgret™ -

2019年1月24日
株式会社東芝

概要

サイバーフィジカルシステムの拡大を背景に、社会インフラシステムも高度化・多様化するサイバー攻撃の脅威に晒されています。電力システムなど重要インフラの制御システムをねらうマルウェアが登場しサイバー攻撃への適用事例が報告されるなど、人々の生活や安全が脅かされ始めています。そこで東芝は、Linux®標準機能を利用して実行するプログラムの起動可否を決定するホワイトリスト型不正プログラム実行制御技術WhiteEgret™を開発しました。制御システムに適用可能で未知を含むマルウェアからの防御を実現しています。さらに、ファイルとしての実体を持つマルウェアからの保護に加えて、従来技術では検出が困難で近年流行の兆しを見せるファイルレスマルウェアからも保護できる特徴があります。

不正プログラム実行制御技術WhiteEgret™

不正プログラム実行制御技術には、定義ファイルに登録したプログラムの実行を防止するブラックリスト型と、定義ファイルに登録したプログラム以外の実行を防止するホワイトリスト型の二種類があります。制御システムの運用管理には可用性に対する高い要求があり、システムの更新や機能追加を最小化する必要があります。そこで今回は、最小限の定義ファイル更新頻度でも最新のマルウェアに対応できるホワイトリスト型の実行制御を採用しました。WhiteEgret™は、制御システムにも適用され始めているLinux®をベースとしており、カーネル空間のOS組込み機能とユーザ空間の制御エンジンで構成されます。各種ユースケースに対応するための機能拡張性を考慮して、OS組込み機能を最小限とし、多くの機能を制御エンジンに実装することで定義ファイル(ホワイトリスト)更新などを柔軟に実行できるようにしました。制御エンジンは実行するプログラムの起動時にOSから受け取った実行ファイル情報から実行ファイルのハッシュ値を計算し、そのハッシュ値とホワイトリストに登録済みのハッシュ値を比較します。OS組込み機能はその比較結果に応じてプログラムの実行を制御しホワイトリストに記載されていないマルウェアの実行を防止します。Linux®での実行制御に一般的に利用されるパス名やラベル名といった情報は改ざんが比較的容易ですが、WhiteEgret™ではプログラム本体のハッシュ値に基づきホワイトリスト形式で実行制御することで高いセキュリティ強度を実現しています。

ファイルレスマルウェアへの対応

昨今、ファイルレスマルウェアを用いたサイバー攻撃事例が増加しています。セキュリティベンダが発表した調査結果によると、2017年に発生したサイバー攻撃のうち29%の攻撃でファイルレスマルウェアが使われており、2019年上半期にはファイルレスマルウェアを使った攻撃が前年同期に比べて2.5倍以上に増えていました。ファイルレスマルウェアはシェルやOSの基本機能を悪用しメモリ上にダウンロードした不正コードを実行します。不正コードのダウンロードや実行にはホワイトリストに登録された正規プログラムのみを利用するため単純なホワイトリスト形式の実行制御では防御が困難です。また、ストレージに攻撃の痕跡を残さないことから、フォレンジックも困難なため大きな脅威となります。ファイルレスマルウェアへの対策として、エンドポイントにおける振る舞い検知技術などが注目されています。しかしながら、マルウェアの実行そのものを防ぐことは困難でありOSレベルでのアクセス制御機能などの新たな対策技術も必要になると考えられます。そこで、WhiteEgret™にストレージ上の実行ファイル情報ではなく、メモリ上の実行イメージを制御エンジンに渡すインタフェースを追加して、制御エンジン側で実行イメージのハッシュ値を算出しホワイトリストと照合、実行判定する機能を試作開発しました。実験環境において正規プログラムとファイルレスマルウェアの実行制御が正しく行えることを確認しています。

おわりに

今後は、WhiteEgret™の実用化を進めるべく製品適用時の課題を解決する技術開発に注力し、安心・安全な社会インフラシステムの実現を目指します。

図.WhiteEgret™によるプログラム実行制御

関連ページ、関連文献等
金井遵他、Linux向けファイルレスマルウェアに対するOSレベル保護方式、SCIS2019
春木洋美他、インフラの安心・安全な長期運用を支える制御システムセキュリティ技術/東芝レビューVol.73 No.5(2018年9月)
https://www.trendmicro.com/en_gb/about/newsroom/press-releases/2019/trend-micro-report-reveals-265-growth-fileless-events.html (トレンドマイクロ株式会社)