セキュリティ・レポート

セキュリティ・レポート

リサーチ・ペーパー一覧

Windows 10 IoT Core に対する脅威分析と実施するべきセキュリティ対策
資料 Windows 10 IoT Core に対する脅威分析と実施するべきセキュリティ対策.pdf(PDF/Jpn)
Threat Analysis on Win10 IoT Core.pdf(PDF/Eng)
出典先 CODE BLUE 2015 発表資料
発表者 和栗 直英 (Naohide Waguri)
基礎技術研究室 リサーチ・エンジニア
概要 IoT 向けプラットフォーム Windows 10 IoT Core のセキュリティを詳しく調査し、ネットワーク経由での侵入やマルウェア感染のリスクについて分析を行った。
分析の結果、最新の PC 向け Windows と同様にメモリ破壊による脆弱性攻撃への対策として DEP、ASLR、CFG が有効であり、それらが省略されていないことが確認できた。
一方で、いくつかのサービスやコンポーネントのデフォルト設定、仕様がセキュリティ的に適切でないことが判明した。
対策として実施すべき、不要なサービスの停止、設定変更やファイアウォールの有効化、Web インターフェイスの HTTPS 化などを紹介する。
Malware armed with Powershell
資料 Malware_armed_with_Powershell.pdf(PDF/Eng)
発表者 村上純一(Junichi Murakami)
執行役員フェロー 応用技術研究室長
概要 We have been continuously providing FFRI Dataset(2013-) to CSS/MWS which is an academic symposium held in Japan. The dataset is a set of log files which is generated by Cuckoo Sandbox for approximately 3,000 malware randomly sampled from our collection since Jan to Apr each year. We confirmed a few activities that malware abusing PowerShell on their executions in the dataset. In this slides, we introduce those activities.
TriCoreで動作する自動車用ECUソフトの攻撃手法に関する検討と試行
資料 Code_Blue_Tricore_assessment_slides_ja.pdf(PDF/Ja)
Code_Blue_Tricore_assessment_slides_en.pdf(PDF/Eng)
動画 https://www.youtube.com/watch?v=BVWF_TfIvyA&feature=youtu.be&a
出典先 CODE BLUE 2014発表資料
発表者 松木 隆宏 (Takahiro Matsuki)
FFRI 基礎技術研究室 室長
岡・デニス・健五(Dennis Kengo Oka)
ETAS シニア・コンサルタント
概要 ECU software is responsible for various functionality in the vehicle, e.g., engine control and driver assistance systems. Therefore, bugs or vulnerabilities in such systems may have disastrous impacts affecting human life. We consider possible vulnerabilities in ECU software categorized into memory corruption vulnerabilities and non-memory corruption vulnerabilities, and examine attack techniques for such vulnerabilities. Since we did not acquire and reverse-engineer actual ECU software, we first consider in theory how and if attacks are possible under the assumption that there would exist memory corruption vulnerabilities in ECU software. For our investigation, we consider the ECU microcontroller architecture TriCore1797 (TriCore Architecture 1.3.1) from Infineon which exists in a number of ECUs. In contrast to x86 architecture, the return address is not stored on the stack; therefore, we assumed that performing code execution by stack overflow would not be easy. We investigated if it would be possible to perform arbitrary code execution based on approaches from the PC environment and also if other attack approaches could be considered. We considered the following attack approaches: 1) Overwriting a function pointer stored on the stack by performing a buffer overflow to execute code; 2) Overwriting the memory area handling context switching used by TriCore itself to execute code; 3) Overwriting the vector tables used by interrupt and trap functions. Moreover, using a TriCore evaluation board and software created to perform the experiments, we tested the various attack approaches. We confirmed that several attack approaches are not possible due to security mechanisms provided by the microcontroller or differences in the microcontroller architecture compared to traditional CPUs. However, under certain specific conditions, as a result of performing a buffer overflow attack to overwrite a function pointer, we manage to make the TriCore jump to an address of our choosing and execute the code already stored on that location.
SLIME: Automated Anti-sandboxing disarmament system
資料 bhasia15_chubachi_aiko_v4.pdf(PDF/Eng)
出典先 Black Hat Asia 2015発表資料
発表者 忠鉢 洋輔 (Yosuke Chubachi)
応用技術研究室 エンジニア
愛甲 健二 (Kenji Aiko)
応用技術研究室 シニア・リサーチ・エンジニア
概要 Recently, a malware is constantly growing which forces malware analysts into hard work. An automated malware analysis can help security engineers, but some malware cannot be run in a sandbox environment. For example, sophisticated malware such as the Citadel and Zeus/GameOver are armed with anti-sandbox techniques to prevent running except on an infected host. These malware detect the execution environment and do not engage in malicious behavior when the current host differs from the infected host. In this presentation, we present an automatically disarmament system for armed malware with anti-sandboxing. The system targets 1) Host-fingerprinting malware like citadel, 2) armed malware with general anti-sandboxing for automated sandbox analyzer. Disarmament approach focuses on exit reasons and exit before activity in malware execution. We developed CPU emulator-based disarmament system with instrumentation. The system suggests a suitable environment for dynamic analysis for individual malware. We will provide statistics of evasive malware in the real world. We will report the result of analysis of large-scale samples.
FFR yarai analyzer活用事例-Vawtrakの解析-
資料 FFR_yarai_analyzer_Vawtrak.pdf(PDF/Ja)
概要 日本国内のオンラインバンキングユーザーを狙った攻撃を行う「Vawtrak」について解析を実施。マルウェア自動解析システム「FFR yarai analyzer」を活用した解析事例を紹介する。
TENTACLE: Environment-Sensitive Malware Palpation
資料 pacsec2014_chubachi_aiko_JP.pdf(PDF/Ja)
pacsec2014_chubachi_aiko_EN.pdf(PDF/Eng)
出典先 PacSec 2014発表資料
発表者 忠鉢 洋輔 (Yosuke Chubachi)
新技術研究部 エンジニア
愛甲 健二 (Kenji Aiko)
技術開発部 シニア・リサーチ・エンジニア
概要 Recently, a malware is constantly growing which forces malware analyst in hard work. An automated malware analysis can helps to security engineers, but some malware cannot be run in a sandbox environment. For example, sophisticated malware such as the Citadel and Zeus/GameOver are armed with anti-sandbox techniques to prevent running except on an infected host. These malware detects the execution environment and do not engage in malicious behavior when the current host differs from the infected host.
In this presentation, I present an automatically disarmament system for armed malware with anti-sandboxing. The system targets on 1) Host-fingerprinting malware like citadel, 2) armed malware with general anti-sandboxng for automated sandbox analyzer. An approach of disarmament focuses on exit reason and exit before activity in malware execution. I have developing CPU emulator-based disarmament system with instrumentation. The system suggests a suitable environment for dynamic analysis for individual malware.
Freeze drying for capturing environment sensitive malware alive
資料 bheu14_chubachi_public_EN.pdf(PDF/Eng)
出典先 Black Hat Europe 2014発表資料
発表者 忠鉢 洋輔 (Yosuke Chubachi)
新技術研究部 エンジニア
概要 We propose a set of techniques for "freeze drying" malware and restoring the captured malware to enable live process migration. Our system can capture environment-sensitive malware in-process and run it in an environment other than the infected host. Sophisticated malware, such as Citadel and ZeuS/GameOver, are armed with anti-analysis techniques to prevent running except on an infected host. These malwares detect the execution environment and do not engage in malicious behavior when the current host differs from the infected host. We developed a malware capture system called Sweetspot that can capture malware in-process by using process live migration and mimicking the infected host's environment on the analyzer by means of system call proxies. In addition, Sweetspot can serve as a honeypot and provide dummy data when the malware requests sensitive information. In briefings, we will demonstrate freeze-drying and instant dynamic analysis of real malware.
Fighting advanced malware using machine learning
資料 psj13-murakami_JP.pdf(PDF/Ja)
psj13-murakami_EN.pdf(PDF/Eng)
出典先 PacSec2013 発表資料
発表者 村上 純一 (Junichi Murakami)
執行役員 事業推進本部長
概要 In this paper, behavioral-based detection powered by machine learning is introduced. As the result, detection ratio is dramatically improved by comparison with traditional detection.
Needless to say that malware detection is getting harder today. Everybody knows signature-based detection reaches its limit, so that most anti-virus vendors use heuristic, behavioral and reputation-based detections altogether. About targeted attack, basically attackers use undetectable malware, so that reputation-based detection doesn't work well because it needs other victims beforehand. And it is a fact that detection ratio is not enough though we use heuristic and behavioral-based detections. In our research using the Metascan, average detection ratio of newest malware by most anti-virus scanner is about 30 %( the best is about 60 %).
By the way, heuristic and behavioral-based detections are developed by knowledge and experience of malware analyst. For example, most analysts know that following features are indicator that those programs are malicious.
- A file imports VirtualAlloc, VirtualProtect and LoadLibrary only and has a strange section name
- An entry point that does not fall within declared text or code section
- Creating remote threads into a legitimate process like explore.exe
- After unpacking, calling OpenMutex and CreateMutex to avoid multiple infections
- Register itself to auto start extension points like services and registry
- Creating a .bat file and try to delete own itself through executing the file with cmd.exe
- Setting global hook to capture keystroke using SetWindowsHookEx
Heuristic and behavioral-based detections are developed based on those pre-determined features like above. Analysts are finding those features day by day. But, this kind of work is not appropriate for human. Therefore we classified programs as malware or benign by machine learning through dynamic analysis results. Thereby, detection ratio is dramatically improved and we could recognize that which features are strongly related to malware by numeric score. And then, we could find the features which we’ve never found by this method. Finally, the outlook and challenges of this method will be tackled.
Improving accuracy of malware detection by filtering evaluation dataset based on its similarity
資料 MWS2013.pdf(PDF/Ja)
MWS2013_E.pdf(PDF/Eng)
MWS2013_paper.pdf(PDF/Ja)
出典先 MWS2013発表資料
発表者 村上 純一 (Junichi Murakami)
執行役員 事業推進本部長
概要 近年マルウェアの高度化が進んでおりパターンマッチング等の従来方式に基づいたマルウェア検知が困難になっている。新たな検知方式として機械学習を適用した手法が提案されており、従来に比べて高い検出率を実現できることが様々な研究により報告されている。一方でこれら機械学習による分類は、一般に学習データと傾向の異なる評価データについては著しく精度が下がることが知られている。そこで本研究では、評価データを学習データとの類似度に基づいて選別することで選別後の評価データに対して高い検出精度を向上させる手法について考察する。
In recent years, it has been getting more difficult to detect malware by a traditional method like pattern matching because of the improvement of malware. Therefore machine learning-based detection has been introduced and reported that it has achieved a high detection rate compared to a traditional method in various research. However, it is well-known that the accuracy of detection significantly degrades against data that differ from training dataset. This study provides a method to improve accuracy of detection by filtering evaluation dataset based on similarity between evaluation and training dataset.
SpyEye解析レポート
資料 SpyEye_research_2013.pdf(PDF)
発表者 岡野友輔(Yusuke Okano)
プロダクト開発第二部 エンジニア
概要 オンラインバンキングユーザーを狙った偽画面事件に代表されるMITB攻撃を行うマルウェアとして有名な「SpyEye」について解析を実施。
「FFRI Limosa」との検証も実施し、その有効性に関しても実証した。
ScanNetSecurity寄稿 - [特別寄稿]MITB の脅威と対策
資料 ScanNetSecurity寄稿(前編)
ScanNetSecurity寄稿(後編)
発表者 大居司(Tsukasa Oi)
技術戦略室 リサーチエンジニア
概要 Man-in-the-Browser (MITB) とはコンピュータに感染したマルウェアが、ブラウザの拡張機能を用いるなどしてブラウザを乗っ取る攻撃を指します。これによって、ユーザーは本物のWebサイトにアクセスしているように見えるのにも関わらず背後で悪意ある活動が行われてしまうという新しい脅威とその対策について解説します。
Android:設計上の技術的な問題点
資料 InternetWeek2011_s10-02.pdf(PDF)
出典先 Internet Week 2011 〜とびらの向こうに〜 スマートフォンセキュリティ 発表資料
発表者 大居司(Tsukasa Oi)
新技術開発室 リサーチエンジニア
概要 急速に普及が進んでいる Android におけるセキュリティ機構や Android アプリケーションの仕組みを紐解きつつ、Android をターゲットとしたマルウェアの説明や root 化の問題、現在の Android 向けアンチウイルスソフトウェアの問題点についての現状を報告する。
Yet Another Android Rootkit - /protecting/system/is/not/enough
資料 yet-another-android-rootkit.pdf(PDF/Eng)
出典先 Black Hat Abu Dhabi 2011 発表資料
発表者 大居司(Tsukasa Oi)
新技術開発室 リサーチエンジニア
概要 このプレゼンテーションにおいては Android において root 権限を取得したとき何ができ、何ができないのかを解説し、その上で我々が作成した新しいタイプの Android rootkit を示す。この rootkit は root権限のみを必要とし、カーネルや ptrace システムコールを使用しない。また、既存の全てのセキュリティモジュールを回避することが可能である。これらに加え、このプレゼンテーションでは Android 保護機構の難しさ、そして考えられる対抗策を紹介する。
----
This presentation explains what we can/cannot do if we gain root privileges on an Android device, and introduces a new kind of Android rootkit. This rootkit needs only root privileges (no kernel-mode, no ptrace) and bypasses all existing security modules. It also explains difficulties of protection mechanism and possible countermeasures.
Android:設計上の技術的な問題点
資料 InternetWeek2011_s10-02.pdf(PDF)
出典先 Internet Week 2011 〜とびらの向こうに〜 スマートフォンセキュリティ 発表資料
発表者 大居司(Tsukasa Oi)
新技術開発室 リサーチエンジニア
概要 急速に普及が進んでいる Android におけるセキュリティ機構や Android アプリケーションの仕組みを紐解きつつ、Android をターゲットとしたマルウェアの説明や root 化の問題、現在の Android 向けアンチウイルスソフトウェアの問題点についての現状を報告する。
ScanNetSecurity寄稿 - [特別寄稿] メーカー別スマートフォンセキュリティ比較
資料 ScanNetSecurity寄稿
発表者 大居司(Tsukasa Oi)
新技術開発室 リサーチエンジニア
概要 急速にビジネス現場への普及と利活用が進むスマートフォンの安全性に関し、Android、iOS、Windows Phone 7を、メーカー別に、共通点と相違点、脅威の現状、必要な対策について解説します。
Windows Phone 7 Internals and Exploitability - ホワイトペーパー
資料 ホワイトペーパー wp7-internals-and-exploitability.pdf(PDF)
発表者 大居司(Tsukasa Oi)
新技術開発室 リサーチエンジニア
概要 Windows Phone 7は、AppleのiOS、GoogleのAndroidと競合するスマートフォン向けのオペレーティングシステムである。現状、競合と比べて後発であるなどの問題から普及はあまり進んでいないものの、アプリケーション配信プラットフォームとサンドボックスを備えた先進的なスマートフォン用オペレーティングシステムであり、第3の選択肢として普及が期待される。
しかし現時点では国内外を問わず、Windows Phone 7のセキュリティに関する詳細な分析報告は少ない。当文書では、我々がWindows Phone 7プラットフォームに対して行ったセキュリティ評価に関する初期報告を行う。
How Security Broken? Japanese / English
資料 how-security-broken-pacsec2011.ja.pdf(PDF/Ja)
how-security-broken-pacsec2011.en.pdf(PDF/Eng)
出典先 PacSec 2011発表資料
発表者 大居司(Tsukasa Oi)
新技術開発室 リサーチエンジニア
概要 日本のスマートフォン用 OS マーケットシェアにおいてAndroid が首位を獲得したことが報道されるなど、Android のセキュリティはとても重要になっている。Android が Linux カーネルをベースにしているのはよく知られているが、セキュリティメカニズムは通常の Linux 環境とかなり異なる。
この資料では Android の内部構造 (Zygote, Prelinking, Intent やその他保護機構) と端末を狙う脆弱性攻撃の可能性、そして、現在のモバイルアンチウイルスソフトウェアが端末全体を守ることができず、対してマルウェアは幾つかの方法でシステムを乗っ取ることができる事実に関して解説、報告する。
Inside Android Security
資料 inside-android-security.pdf(PDF/Ja)
発表者 大居司(Tsukasa Oi)
新技術開発室 リサーチエンジニア
概要 2011年5月、Androidが国内におけるスマートフォン向けOSシェア1位になったこ とが報道された。先発のSymbianやiPhone等においては脆弱性攻撃を悪用したJailbreakやウイルス攻撃等の可能性が実証され、一部蔓延している状況にある。一方、Androidは当初からオープンプラットフォームであるためセキュ リティが懸念されており、昨今においてはその普及に伴いウイルスの急増が報告されている。本セッションでは、こられ背景を鑑み、Android 内部のセキュリ ティの仕組みとそれに起因する脆弱性攻撃の可能性、そして急速に進化しつつあ るマルウェアに対して、現状のAndroid 向けアンチウイルスソフトウェアは限定的な対策しか取れていない現状を報告する。
仮想環境に依存せず詳細な解析能力を持つ動的解析システムの設計と実装 - 発表資料 / ホワイトペーパー
資料 ・発表資料 egg_Recon2011_SaotshiTANDA.pdf(PDF/Eng)
・ホワイトペーパー Dynamic_malware_analyzer_without_virtual_environments_ja.pdf(PDF/Ja)
発表者 丹田賢(Satoshi Tanda)
技術本部 沖縄研究開発部 シニアソフトウェアエンジニア
概要 新種・亜種のマルウェアは年々急増している。セキュリティベンダーは、これらのマルウェアを解析し対応しなければならないが、そのすべてを手動で解析することは困難である。この問題に対する解決策として、自動でマルウェアを解析する動的解析システムの利用があげられるが、既存の動的解析システムには、不十分な解析能力や仮想環境への依存性などといった問題が存在する。そこで本リサーチペーパーでは、仮想環境に依存せずマルウェアの実行を詳細に解析できる動的解析システムの設計と実装を行い、その有効性を評価した。
GRAPE: Generative Rule-based Generic Stateful Fuzzing
資料 GRAPE_GenerativeFuzzing.pdf(PDF/Eng)
発表者 Nicholas Green
技術本部 ソフトウェア開発部 ジュニアソフトウェアエンジニア
概要 We present GRAPE, a rule-based, generative, stateful fuzzer. GRAPE generates fuzz-cases from scratch, and can interpret and incorporate responses to its fuzz-cases in subsequent generations. GRAPE uses a simple scapy-inspired syntax to define the structure of packets (or files, etc) to be sent or received, and a YAML-inspired syntax to define the primitives used to build those structures. Fuzz-cases are arranged as scenarios to direct the generation of fuzz-cases past connections or log-ins, and towards vulnerable paths. This allows GRAPE to fuzz more complex protocols, like HTTP, or stateful protocols like SMTP.
EMETによるSEHOP実装の改良の提案 - Japanese / English
資料 EMETReport.pdf(PDF/Ja)
EMETReport_eng.pdf(PDF/Eng)
発表者 鈴木秀一郎(Shuichiro Suzuki)
技術本部 先端技術研究部 シニアリサーチエンジニア
概要 マイクロソフトは2010年9月、Enhanced Mitigation Experience Toolkit 2.0 (以降、EMET)をリリースした。EMETはWindows XP, Vista, 7やWindows Server 2003, 2008向けにいくつかのセキュリティ上の防御機能を提供している。EMETはそのうちの1つの防御機能として、SEHOPを提供している。SEHOPは Windows Vista SP1から取り入れられた防御機能であり、Windows XPには本来備わっていない機能であるが、EMETはこのSEHOPをWindows XPにも提供している。本リサーチペーパーでは、このSEHOPの効果について調査し、その問題点と、改良法について整理した。
---
Microsoft released the Enhanced Mitigation Experience Toolkit 2.0 (EMET) in September 2010. EMET provides several vulnerability mitigations for Windows XP, Vista, 7, Windows Server 2003 and 2008. EMET provides SEHOP as one of its mitigations. SEHOP was first introduced in Windows Vista SP1, and is not provided intrinsically for Windows XP. EMET provides SEHOP for Windows XP. This document reports on the effectiveness of EMET's SEHOP, and summarizes the problems and outlines some means by which it may be improved.
Exploring the x64 - Japanese / English
資料 psj10-murakami_JP.pdf(PDF/Ja)
psj10-murakami_EN.pdf(PDF/Eng)
出典先 PacSec 2010 発表資料
発表者 村上 純一 (Junichi Murakami)
執行役員 先端技術研究部長
概要 x64アーキテクチャーを基にしたCPUは、近未来において多数派になるであろう。そこで私達は、x86 CPUでコードを走らせるのと同様な作法でx64 CPUでも走っているコードの分析、フック、インジェクション、エクスプロイットを行いたいと考えた。x86とx64は類似しているが、ディテールはかなり違うものであり、下層のレイヤーではx64に特有のテクニックが存在する。
---
CPUs based on the x64 architecture will be the majority in the near future. Accordingly, we want to analyze, hook, inject and exploit code running on them, in the same manner as we do code running on x86 CPUs. x86 and x64 seem similar, but the details are quite different, and techniques peculiar to x64 exist in the lower layers.
SEH overwrite and its exploitability
資料 SEH_Overwrite_CanSecWest2010.pdf(PDF/Eng)
出典先 CanSecWest 2010 発表資料
発表者 鈴木秀一郎 (Shuichiro Suzuki)
技術本部 先端技術研究部 リサーチエンジニア
概要 SEH(Structured Exception Handling)オーバーライトを用いた攻撃は攻撃者から見た場合に有効な手段であったが、近年さまざまな保護機能が実装されその Exploitはより難しくなってきている。ただし、それでもなお攻撃可能性がなくなったわけではなく、特に一部の保護機能を有効にしていないシステムでは依然として攻撃対象となり得る。各保護機能によってどのような攻撃からシステムを守ることができ、どのような組み合わせをシステムに適用するべきかの考察を行う。
FFR GreenKiller - Automatic kernel-mode malware analysis system
資料 avar-2009-murakami.pdf(PDF/Eng)
発表者 村上純一 (Junichi Murakami)
技術本部 先端技術研究部長
概要 Recently kernel-mode malware, such as Rustock variants, have been increasing in number. In Userland, we already have enough tools and environments with which to analyze malware. However, in kernel land, many researchers are still using a kernel debugger. It is really painful work and can be made more efficient.

FFR GreenKiller is an automatic execution analysis system which uses virtualization technology and works under ring -1 privilege. We will introduce the advantages and mechanisms of its approach.

SEHオーバーライトの防御機能とそのExploit可能性
資料 SEH_Overwrite.pdf(PDF/Ja)
発表者 鈴木秀一郎 (Shuichiro Suzuki)
技術本部 先端技術研究部 リサーチエンジニア
概要 SEH(Structured Exception Handling)オーバーライトを用いた攻撃は攻撃者から見た場合に有効な手段であったが、近年さまざまな保護機能が実装されその Exploitはより難しくなってきている。ただし、それでもなお攻撃可能性がなくなったわけではなく、特に一部の保護機能を有効にしていないシステムでは依然として攻撃対象となり得る。各保護機能によってどのような攻撃からシステムを守ることができ、どのような組み合わせをシステムに適用するべきかの考察を行う。
ITPro寄稿 - 悪魔のツール”ルートキット”最前線
資料 ITPro寄稿
発表者 村上純一 (Junichi Murakami)
技術本部 先端技術研究部長

舟久保貴彦 (Takahiko Funakubo)
技術本部 先端技術研究部 リサーチエンジニア
概要 第1回 ルートキットの進化を追う
第2回 ボットに組み込まれたルートキットを解析
第3回 デバイス・ドライバを利用してOSを改変
第4回 ルートキット実装の2大手口(その1)
第5回 ルートキット実装の2大手口(その2)
第6回 メモリー上のデータを見えなくする(前編)
第7回 メモリー上のデータを見えなくする(後編)
第8回 ルートキットの分類を再考
第9回 発見不能!OSの下で動作するルートキット(前編)
第10回 発見不能!OSの下で動作するルートキット(後編)
第11回 SMM(システム管理モード)を悪用した見えない攻撃
第12回 SMMを悪用したキーロガー
Inside "Winnyp" - Winnypの内部動作とネットワーククローリングシステムの全貌
資料 PacSec2008_ishiyama_jp.pdf(PDF/Ja)
出典先 PacSec 2008 発表資料
発表者 石山智祥 (Toshiaki Ishiyama)
技術本部 ソフトウエア開発部長
概要 日本では、匿名P2Pファイル共有交換システムによる機密情報の漏えいが慢性化しており、大きな社会的問題となっています。これら状況に対応すべく、我々は著名な匿名P2Pソフトウェアである「Winny」や「Share」のコードを静的解析し、内部動作やプロトコルの詳細を公の場で発表して対策を促すといった活動を行ってきました。このような活動により、WinnyやShareに関しては情報漏えい対策の大きなハードルとなっていた高い匿名性が失われつつあり、一定の成果を得られつつあります。しかし、Winnyとプロトコル互換性を持つ「Winnyp」に関しては過去に解析報告が無く、プロトコル認識によるフィルタリングやネットワークスキャン、および、情報漏洩が発生した際の調査などが実施できませんでした。そこで今回、Winnypに実装されている全コードを静的解析し、Winnypの内部動作やプロトコル、および、匿名性を高めるための各種実装を明らかにしました。本発表では、それらを細部まで解説するとともに、「どのIPアドレスのノードが何のファイルを共有しているのか」を調査するためのクローリング手法の詳細を解説します。また、今回開発したWinnypネットワーククローラーを動作させる事で得られたWinnypネットワークの現状について報告します。さらに、Winny、Winnyp、およびShareの静的解析を通じて得られた知見をベースとした、匿名P2Pファイル共有交換システム独特の静的解析アプローチについて解説します。
Inside "Winnyp" - Winnyp Internals and Concepts of Network Crawling
資料 PacSec2008_ishiyama_en.pdf(PDF/Eng)
出典先 PacSec 2008 発表資料
発表者 石山智祥 (Toshiaki Ishiyama)
技術本部 ソフトウエア開発部長
概要 Leakage of highly classified information through anonymous P2P filesharing networks is becoming a major issue in Japan. In order to counter this threat we have statically analyzed the code of the popular anonymous P2P filesharing softwares "Winny" and "Share", publicly revealed their internals and protocols in detail and created defensive strategies. Apart from these efforts we managed to overcome the high anonymity of Winny and Share that has up until now been an issue while preventing data leakage. However while the filtering and network scanning capabilities of Winny have been uncovered, up until now equal functionality in the protocol compatible "Winnyp" were unharmed, making investigations and enactments upon information leakage outbreaks impossible. Therefore this time we have statically analyzed Winnyp's code completely, taken a look at all the internals and protocols as well as shed light on the many approaches taken to increase anonymity. For the main part, we will in explain how to figure out which node under which IP address shares what files by using crawler technology. We will report on the techniques used by the new Winnyp network crawler as well as the current state of the Winnyp network. Furthermore we will explain the best approaches to the statical analysis of anonymous P2P filesharing systems that we could gather while working on Winny, Winnyp and Share.
「FFR EXCALOC」 コンパイラのセキュリティ機能に基づいたExploitabilityの数値化
資料 bh-japan-08-Ishiyama.pdf(PDF/Ja)
出典先 Black Hat Japan 2008 発表資料
発表者 石山智祥 (Toshiaki Ishiyama)
技術本部 ソフトウエア開発部長
概要 最近のコンパイラには、さまざまなセキュリティ拡張が実装されています。これら機能により、アプリケーション作成者は、仮に脆弱なアプリケーションをリリースしてしまったとしてもExploitされる可能性を大幅に低減させる事ができるようになりました。しかし、これらのセキュリティ拡張が利用されていないコンパイラを使用して作成されたソフトウェアはいまだ多く存在します。これにより、近年の多くのコンパイラでサポートされているスタック保護や、OSで提供されている安全なヒープマネージメントが機能せず、いまだ traditionalな手法でExploit可能となるケースが多々見受けられます。そこで今回、サポート切れとなっている古いものを含む多数のコンパイラで生成されたオブジェクトの分析を行い、特徴パラメータを抽出し、ソフトウエアのExploitabilityについて数値化する研究を行いました。また、本アルゴリズムを用いたExploitabilityの数値化システムを開発し、一般に提供されている著名なソフトウエアに適用しました。そして、それらソフトウエアの脆弱性検査を行い、数値化されたExploitabilityとの比較を行いました。その結果、本システムを用いることでソフトウエアのExploitabilityを容易に分析できることが分かりました。本システムを用いることで、セキュリティアナリストは致命的な脆弱性が潜むであろうソフトウェアを効率よくピックアップすることが可能になり、効率よく脆弱性の発見を行うことが可能となります。
ハードウェアによる仮想化支援機能を利用したハイパーバイザーIPS
資料 bh-japan-08-Murakami.pdf(PDF/Ja)
出典先 Black Hat Japan 2008 発表資料
発表者 村上純一 (Junichi Murakami)
技術本部 先端技術研究部長
概要 近年、マルウェアのステルス化が進んでおり、従来に比べてより検出することが困難になっている。今日のマルウェアは、動的なコードインジェクション、ルートキット技術等の様々なステルス技術を備えている。更に、Trojan.Srizbiのように完全にカーネルモードで動作するマルウェアまで登場している。ルートキットやカーネルモードマルウェアに特化した検出ツールは、数多くリリースされているが、どちらも同じCPUの特権レベルで動作するためそれらはイタチごっこである。そこで今回、ハードウェアによる仮想化支援機能を利用したハイパーバイザーIPSの開発を行った。これは、OSが実行される特権レベルより低い「Ring -1」で動作する。本セッションでは、今日のマルウェアが利用する様々なステルス技術、およびハイパーバイザーIPSを利用してこれらのマルウェアを防止する手段について説明する。
A Hypervisor IPS based on Hardware Assisted Virtualization Technology
資料 bh-usa-08-Murakami.pdf(PDF/Eng)
出典先 Black Hat USA 2008 発表資料
発表者 村上純一 (Junichi Murakami)
技術本部 先端技術研究部長
概要 Recently malware has become more stealthy and thus harder to detect, than ever before. Current malware uses many stealth techniques, such as dynamic code injection, rootkit technology and much more. Moreover, we have seen full kernel mode malware like Trojan.Srizbi. Many detection tools were released that specialize in kernel mode malware and especially in the detection of rootkits. However, these tools are a cat and mouse game, because they and the malware are executed on the same privilege level. This is why we developed an IPS based on a hypervisor, which uses features of hardware virtualization. It is executed on Ring-1 and thus runs with higher privileges than the OS layer. In this session, we will talk about stealth mechanisms used by recent malware and demonstrate how to protect against such malware using Hypervisor IPS.
IPA - 近年の標的型攻撃に関する調査研究-調査報告書-
資料 IPA-調査報告書-
概要 FFR研究開発部αUnitは、独立行政法人情報処理推進機構(IPA)の支援の元、特定の企業あるいは組織を標的とした攻撃を行う「標的型攻撃」に関する調査研究を行いました。「近年の標的型攻撃に関する調査研究」としてIPAのWebページに報告書が公開されています。
@IT寄稿 - 5分で絶対に分かるバッファオーバーフロー
資料 @IT寄稿
発表者 石山智祥 (Toshiaki Ishiyama)
技術本部 ソフトウエア開発部長
概要 皆さんがよく利用しているアプリケーションにセキュリティホールが見つかり、「悪意のあるコードが実行される可能性がある」というような内容のニュースをよく耳にします。しかし、自分でインストールしたわけでもなければ、実行させたつもりもない「悪意のあるコード」がなぜ実行できるのでしょうか? 今回は、バッファオーバーフローを利用して、ほかのアプリケーション上で悪意のあるコードが実行される仕組みについて説明していきます。
@IT寄稿 - Inside LSM
資料 @IT寄稿
発表者 村上純一 (Junichi Murakami)
技術本部 先端技術研究部長
概要 Linuxカーネル2.6以降にはセキュリティフレームワークとしてLSM(Linux Security Module)が実装されています。本記事ではLSMの仕組みとその活用方法を解説します。

第1回 知られざるセキュリティフレームワーク「LSM」の役割
第2回 オリジナルセキュリティモジュールの作成
最終回 オリジナルセキュリティモジュールを拡張する
リバースエンジニアリングとセキュリティ脆弱性分析[PDF]
資料 ReverseEngineering2.pdf(PDF/Ja)
発表者 鵜飼裕司 (Yuji Ukai)
代表取締役社長
概要 近年、0-day脆弱性なども多数悪用されるなど、脆弱性を狙った攻撃はより深刻化しつつあります。攻撃者側はリバースエンジニアリングを駆使して脆弱性を発見するなど、近年、攻撃者側の脆弱性発見・分析スキルのプロ化が進んでいます。そこで、本プレゼンテーションでは、近年の脅威と攻撃者が注目する脆弱性のトレンドやリバースエンジニアリングによる効率的な脆弱性発見のポイント、近年のファイルフォーマット系脆弱性と発見のコツ、ファイルフォーマット系脆弱性の実例と発見のアプローチなどを紹介します。
ITPro寄稿 - マルウェアの解析対策を無効にするAnti-Anti-Debuggingツールを開発
資料 ITPro寄稿
発表者 鵜飼裕司 (Yuji Ukai)
代表取締役社長
概要 最近のMalwareは、解析対策の一環としてAnti-Debuggingを実装しているものが増えており、解析がやや面倒になっています。Anti-Debuggingの手法として最も利用されているIsDebuggerPresent()、およびPEB(Environment Block)のBeingDebuggedフラグ参照によるデバッガ検出を無効にする方法を解説します。
システムコールフックを使用した攻撃検出[PDF]
資料 SystemCall.pdf(PDF/Ja)
発表者 金居良治 (Ryoji Kanai)
取締役 最高技術責任者
概要 システムコールフックという技術を通して、OS に対して独自に作成した拡張機能を追加するにはどのようにすれば良いのかを紹介します。本プレゼンテーションでは、書き込み属性のあるメモリ領域からのシステムコール呼び出しを禁止する、とう独自カーネルモジュルを作成しました。これにより、単純なスタック/ヒープベースのバッファオーバーフロー発生時のセキュリティリスクを低減する事が可能になります。
ITPro寄稿 - セキュリティチェックの定番「ポートスキャナ」
資料 ITPro寄稿
発表者 金居良治 (Ryoji Kanai)
取締役 最高技術責任者
概要 第1回 ポート・スキャナ,使いこなせますか
第2回 OS情報検出のひみつ
第3回 実際にOSを検出してみる
第4回 新GUI:tracerouteからネットワーク図を自動描画
最新ポートスキャナ対策[PDF]
資料 AntiScan.pdf(PDF/Ja)
発表者 金居良治 (Ryoji Kanai)
取締役 最高技術責任者
概要 nmapや各種セキュリティ脆弱性スキャナには、対象でどのようなサービスが動作しているかをリモートから検出するためのポートスキャナが実装されています。ペネトレーションテストや脆弱性管理では必須の技術ですが、攻撃の前段階における調査手法一つとしても定着しています。本資料では、ポートスキャンを無効化するためのいくつかの技術を紹介します。また、システムの通常運用に影響を与えることなく、簡単にポートスキャンを無効化するフォティンフォティの独自手法を紹介します。
組み込みシステムのセキュリティ[PDF]
資料 Embedded.pdf(PDF/Ja)
発表者 鵜飼裕司 (Yuji Ukai)
代表取締役社長
概要 近年、携帯電話や家庭用ゲーム機、情報家電など、さまざまな組み込み機器がインターネットに接続し、電子商取引などが活発に行われるようになってきました。しかし、セキュリティ研究は主にデスクトップPCやサーバで動作するOSやアプリケーションにフォーカスしており、組み込みシステムの分野では十分に議論がなされていません。しかし、組み込みシステムを狙う攻撃は年々増加しており、また、古典的な脆弱性を持つ製品も多数存在する事から、組み込みシステムは攻撃者にとって格好のターゲットになりつつあります。そこで本プレゼンテーションでは、組み込みシステムのバッファオーバーフロー脆弱性にフォーカスし、その脅威分析について解説します。