アーカイブ

未踏IT人材発掘・育成事業:2019年度採択プロジェクト概要(森PJ)

最終更新日:2019年6月28日

1.担当PM

  • 田中 邦裕(さくらインターネット株式会社 代表取締役社長)

2.採択者氏名

  • 森 瑞穂(電気通信大学 大学院 情報理工学研究科 情報・ネットワーク工学専攻 本多研究室)

3.採択金額

  • 2,304,000円

4.テーマ名

  • 高速なVMI機構を実装したバイナリ解析基盤

5.関連Webサイト

  • なし

6.申請テーマ概要

マルウェアの解析や、ソースコードの与えられていないバイナリの解析など、リバースエンジニアリングはあらゆる分野において需要が高い技術である。特に情報セキュリティにおいては、マルウェアの解析をいち早く行い、攻撃手法や動作をいち早く解明する必要がある。

マルウェアの解析には静的解析と動的解析の2種類の手法が存在する。静的解析はデコンパイラでアセンブリを読み、得られるコードグラフや文字列の列挙などから文字通り、マルウェアを動作させずして解析を行う。一方、動的解析はマルウェアを実際に動作させ、ネットワークアクセスをトレースしたり、システムファイルの改ざんや攻撃のトラフィックなどを解析したりする。静的解析に比べ動的解析はすばやく動作を把握することができるため初期対応としての解析手段としては重宝される傾向にある。

しかし、マルウェアの中には動的解析耐性を持つものがあり、単なるデバッガでは解析を妨害されてしまう恐れがある。そうした中でハイパーバイザ(仮想マシンモニタ)を用いた解析システムが提案されている。特にベアメタルハイパーバイザは、ハードウェアの上で直接動作し、ゲストマシンとして実際のOSやアプリケーションを動作させることができ、ハードウェア仮想化支援技術を用いて、特権的にゲストのレジスタやメモリを読み書きすることができるため、ゲストから不可視の解析を行うためのプラットフォームとして近年注目されている。しかし、ハイパーバイザを用いた解析基盤には、ゲストマシンの解析によるオーバーヘッドやタイミング解析への対応の甘さなどの問題が存在する。

そこで、本プロジェクトでは全く新しいシステムコールのトラップ機構、CPU時間の改ざん、ゲストマシンの挙動解析手法を開発する。これによりインシデントが発生した際のマルウェア解析を、高速かつ迅速に行うことができるようになる。

7.採択理由

コンピューターが世界中に浸透し、ソフトウェアがその重要性を増している昨今、マルウェアやウイルスなどが含まれるソフトウェアの解析への需要が高まっているが、解析している事を該当のソフトウェアに悟られずに高速かつ簡便に外部から動的解析することは難しい。

本提案では、仮想環境内でその解析を行い、加えてCPU時間を改ざんして解析中である事を悟られない実装を示しており、実際に実現できれば画期的な解析環境になると考えられる。セキュリティインシデントは永遠に無くならないが、ソフトウェアの解析面からインシデントを無くすために、このプロジェクトの成果が活用される事を期待している。

更新履歴

  • 2019年6月28日

    2019年度採択プロジェクト概要(森PJ)を掲載しました。