FFRI Security BLOG

弊社リサーチエンジニアが「CODE BLUE 2021」に登壇します!

弊社リサーチエンジニアによる研究が、日本発の情報セキュリティ国際会議『CODE BLUE 2021』に採択されました。2021年10月19日~20日に開催される同イベントにて研究結果を発表します。

CODE BLUE 2021

研究タイトル:Appearances are deceiving: Novel offensive techniques in Windows 10/11 on ARM

CODE BLUE について

CODE BLUEは2013年から始まった日本発の情報セキュリティ国際会議です。世界トップレベルの情報セキュリティ専門家による最新の研究成果が発表され、国や言語の垣根を超えた情報交換・交流の機会が提供されています。 欧米の著名な研究者の基調講演、日本をはじめとするアジア各国の優れた研究者による最新の研究結果の発表が行われます。

研究内容とその背景

近年 CPU として ARM プロセッサを搭載したノートパソコンが発売されています。ARM プロセッサは、これまでノートパソコン向けに使われてきた Intel や AMD のプロセッサと比較して消費電力が低く、モバイル向けという特徴があります。しかしながら、OS がサポートしていないなどあり、ノートパソコン向けにはこれまであまり普及してきませんでした。最近になり、Apple が M1 Mac を発表し、Microsoft もフラグシップモデルの Surface シリーズに ARM 版 Windows を搭載した製品を投入するなど、ARM プロセッサを搭載したノートパソコンは徐々に普及しつつあります。

アプリケーションの互換性の問題で、ユーザーが ARM プロセッサを搭載したノートパソコンに移行するにあたっては大きな障壁があります。既存のアプリケーションは Intel や AMD のプロセッサ向けに作成されたものがほとんどであり、ARM プロセッサ上で動作させることは不可能です。この問題の解決のため、Apple や Microsoft は様々な互換性テクノロジーを導入してきました。これらの互換性テクノロジーには、Intel や AMD プロセッサ向けに作成されたアプリケーションを ARM プロセッサ向けに動作可能な形に変換して実行する技術 (Rosetta 2 や XTAJIT) や、開発者向けにアプリケーションの段階的な ARM 対応を支援する技術 (ARM64EC) などがあります。

こうした互換性技術が ARM プロセッサ移行に伴い複数導入されています。これらは攻撃者にとって新しい攻撃手段を提供することにならないか、この点はこれまであまり議論されてきませんでした。そもそも新しく登場したこれらの互換性技術を解析した研究がほとんどなく、悪用の可能性を論じることすらできない状況でした。今回、弊社リサーチエンジニアは ARM 版 Windows を対象にこれらの互換性技術を解析した結果、及び互換性技術の具体的な悪用手法について発表します。なお、当研究は昨年12月に開催されたBlack Hat EUにて発表した研究を発展させたものとなっており、今年6月に発表された最新の互換性技術(ARM64ECやARM64X)の解析結果、およびそれらの悪用手法について解説する予定です。

Black Hat EU 2020

研究の詳細は CODE BLUE 2021 開催後に CODE BLUE の Web ページ、およびFFRIセキュリティ Web ページにも掲載されます。

2021-10-04

ゼロトラストを支えるエンドポイントセキュリティ

関連記事 Related Post

次世代エンドポイントセキュリティ Next-generation endpoint security

特集 Special Contents

FFRI yarai3.4

お問い合わせ Contact Us

メールマガジン Mail Magazine

エンジニアブログ For Engineer

最近の記事 Recent Post

人気の記事 Popular Post

アーカイブ Achive

pagetop