セキュリティ・レポート

セキュリティ・レポートでは、FFRIセキュリティのリサーチチームの活動の一部として、
セキュリティ脆弱性攻撃に関する最新情報や研究資料、掲載論文などをホームページに公開しています。
FFRIセキュリティのリサーチチームは、このような活動を通じ、広くみなさまにセキュリティの重要性を知っていただきたいと考えております。
ぜひ、セキュリティの情報源としてご活用ください。

You've Already Been Hacked: What if There Is a Backdoor in Your UEFI OROM?
資 料
出典元 Black Hat USA 2024 発表資料
発表者 松尾 和輝 (Kazuki Matsuo)
基礎技術研究部 リサーチ・エンジニア
概 要

While there have been several studies on inserting malicious code into UEFI OROM (Option ROM), none of them have focused solely on UEFI OROM itself; instead, OROM has been used for auxiliary purposes such as ensuring persistence or as a temporary buffer for lateral movement. Therefore, there is a lack of clarification on what actions a backdoor in UEFI OROM could perform and its potential benefits.

This presentation aims to organize the benefits and infection scenarios of placing a backdoor in UEFI OROM. It will delve deeply into the stealthiness and potency of OROM backdoors, followed by demonstrations of three novel PoC OROM backdoors targeting Windows. This PoC utilizes multiple novel evasion techniques, including communication with a C2 server during boot, execution of malicious code at both kernel and userland levels solely through a runtime DXE driver, concealing malicious tasks during the boot phase, and bypassing CFG/ACG using partial identity mapping. Lastly, strategies for defending systems against OROM backdoors will be discussed, along with an introduction to the research and initiatives needed for such protection.

Dirty Bin Cache: A New Code Injection Poisoning Binary Translation Cache
資 料
出典元 Black Hat Asia 2023 発表資料
発表者 中川 恒 (Koh M. Nakagawa)
基礎技術研究部 部長
概 要

In recent years, Arm processors have become popular on laptops, not limited to embedded devices. For example, Apple announced the Mac transition from Intel to Arm-based Apple Silicon in 2020, which made a big splash. Apple Silicon Mac has Rosetta 2, which enables the execution of Intel-based apps by translating x64 code into Arm64 code. Several researchers have conducted research on Rosetta 2 from a performance perspective. However, to our best knowledge, there is no research on Rosetta 2 from a security perspective.

In this talk, we present a new code injection vulnerability in Rosetta 2. Rosetta 2 stores binary translation results as Ahead-Of-Time (AOT) files, which are cached and reused for the next application launch. Since these files are SIP-protected, we cannot modify these files even as root users. However, we developed a new exploit that bypasses this SIP protection and injects arbitrary code into AOT files with user privileges. This code injection can be used to bypass macOS security and privacy mechanisms. Moreover, this technique enables us to make a stealthy backdoor by hiding a malicious payload in a SIP-protected location. Apple has fixed this vulnerability, but only partially. Therefore, an attacker can still exploit this vulnerability even for the latest macOS.

Our journey does not end with this finding. Interestingly, we also discovered a similar issue in Arm-based Windows x86/x64 emulation and developed a similar code injection. Therefore, we believe this vulnerability is prevalent among these compatibility technologies and will affect similar technologies introduced in the future.

This talk will show the vulnerabilities specific to these compatibility technologies in Arm-based OSs for the first time. New code injection techniques with PoC code benefit red teams. In addition, new exploit techniques and reverse engineering results will help future vulnerability research.

Appearances are deceiving: Novel offensive techniques in Windows 10/11 on ARM
資 料
出典先 CODE BLUE 2021 発表資料
発表者 中川 恒 (Koh M. Nakagawa)
基礎技術研究室 リサーチ・エンジニア
概 要 2017 年 Microsoft は ARM 版 Windows を発表した。 ARM 版 Windows を搭載した端末は Surface Pro X シリーズや HP ENVY x2 など増加傾向にあり、徐々に普及しつつある。

これらの ARM 端末を利用するにあたっては、既存の x86/x64 向けアプリケーションが利用できないという互換性の問題が生じる。
しかし、x86/x64 エミュレーション機能の提供によりこの問題は対処されている。
近年では、ARM64EC が発表され、段階的な x64 アプリケーションの ARM 移行も可能となった。
こうした互換性テクノロジーの積極的な導入は Microsoft による ARM 版 Windows の普及促進の強い意志の表れと言える。

一方で、新しい互換性テクノロジーの登場は攻撃者にとって新しい攻撃の手段を提供することにはならないだろうか ?
われわれの知る限り、この点は現時点でほとんど議論すらされていない。
そこで、われわれは ARM 版 Windows に存在する互換性テクノロジーをリバースエンジニアリングし、その悪用可能性について検討を行った。

その結果、XTA cache ファイルを改ざんすることによるコードインジェクション・新規に導入された再配置エントリーを悪用した難読化手法など種々のテクニックが利用可能であることがわかった。
これらの手法は、共通してバイナリの"見た目"と実行時の挙動が異なるという特徴を持っており、検知や追跡が困難な手法となっている。
加えて、一部の手法は静的解析の妨害・サンドボックスでの解析の妨害として使えるなど幅広く悪用可能となっている。
そのため、将来的に ARM 版 Windows において脅威となる可能性が高いといえる。

本発表ではわれわれが提案する新手法の詳細とその特徴についてデモを交えながら解説する。
本発表を契機とし ARM 版 Windows のセキュリティ研究が発展・促進されることを期待する。

PoC コードと詳細なリバースエンジニアリング結果は GitHub にて公開する。
資 料
発表者 茂木裕貴 (Yuki Mogi)
基礎技術研究室 リサーチ・エンジニア
概 要 近年発展の著しい機械学習への攻撃の一つである、Adversarial Exampleについてまとめたホワイトペーパーです。
画像処理や自然言語処理といった各分野におけるAdversarial Exampleや、その防御策と防御策のバイパスについても紹介しています。
資 料
発表者 中川 恒 (Koh M. Nakagawa)
基礎技術研究室 リサーチ・エンジニア
概 要 近年の Intel や Arm の CPU に導入が進みつつある、CPU レベルでの脆弱性緩和技術についてまとめたホワイトペーパーです。Intel CET と Arm PAC, BTI, MTE についてその技術的詳細とコンパイラと OS におけるサポート状況について紹介しています。
また、Intel CET と Arm PAC については、 Windows 10 のサポート状況を、独自にリバースエンジニアリングして調査した結果についても紹介しています。
Jack-in-the-Cache: A New Code injection Technique through Modifying X86-to-ARM Translation Cache
資 料
出典先 Black Hat Europe 2020発表資料
発表者

中川 恒 (Koh M. Nakagawa)
基礎技術研究室 リサーチ・エンジニア

押場博光 (Hiromitsu Oshiba)
基礎技術研究室長

概 要

Recently, the adoption of ARM processors for laptop computers is becoming popular due to its high energy efficiency. Windows 10 on ARM is a new OS for such ARM-based computers. Several laptop computers with this OS have already been shipped; notably, the recent launch of Microsoft Surface Pro X will be a driving force to facilitate the widespread use of Windows 10 on ARM.

You might think that there are new threats to such a new OS. Yes! We found such a threat.

In this talk, we present a new code injection technique to abuse a novel feature of Windows 10 on ARM: X86 emulation.
Remarkably, Windows 10 on ARM can run X86 apps via the X86 emulation feature that translates binary from X86-to-ARM just in time. To reduce the performance overhead of JIT binary translation, the OS has the mechanism to cache already-translated results as X86-to-ARM (XTA) cache files.

Our new code injection technique is performed by modifying this XTA cache file. Since this technique is difficult to detect and trace, appropriate countermeasures are necessary. Moreover, this technique can be used as an API hooking invisible to an X86 process. Therefore, this technique has already been a threat to Windows 10 on ARM.

We believe that future OSs have a JIT translation mechanism at the processor transition. For example, Apple has recently announced Rosetta 2, which is a similar mechanism for introducing their own ARM-based chip. For these OSs, the caching of already-translated results as files is a reasonable way to decrease performance overhead.

Our new code injection technique might also apply to such OSs.This presentation becomes a beneficial advisory for the developers of such future OSs, not limited to Windows 10 on ARM. PoC code of our new code injection technique and analysis results of the X86 emulation will be public on GitHub after this talk.

PE 表層情報を用いた機械学習による静的マルウェア検知
資 料
出典 2019 Symposium on Cryptography and Information Security Shiga, Japan, Jan. 22 - 25, 2019 The Institute of Electronics, Information and Communication Engineers
著作権 Copyrightc2019 The Institute of Electronics, Information and Communication Engineers
許諾番号 19SB0012
発表者 茂木裕貴 (Yuki Mogi)
基礎技術研究室 リサーチ・エンジニア
概 要 impfuzzy のようなfuzzy hash は、類似したファイルが類似したハッシュ値になることから、マルウェアのクラスタリングや亜種の特定に使われている。またpeHash もマルウェアのクラスタリングに用いられる。一方で、これらを直接マルウェアの検知に利用する研究はこれまでほとんどなかった。そこで本研究では、こうしたハッシュ値がマルウェアの検知に有効かどうかをFFRI Dataset 2018を用いた機械学習による分類器の作成により検討し、以下の結果を得た。1. 先行研究で報告されている通り、fuzzy hash やpeHash を含まないPE 表層情報はマルウェアの検知に有効である。2. fuzzy hashやpeHash にのみ基づいた分類器は、それらを含まないPE 表層情報に基づいた分類器より性能が低かった。3. fuzzy hash やpeHash を含まないPE 表層情報に基づいた分類器とfuzzy hash 及びpeHash に基づいた分類器を組み合わせることで、単体での性能より高い性能を示した。4. fuzzy hash やpeHashを含まないPE 表層情報に基づいた分類器をパラメーターチューニングを行った場合であっても、fuzzy hash 及びpeHash に基づいた分類器と組み合わせることで、特にFalse Positive Rate が低くなるようなしきい値の設定で有効であった。
FFRI Research Report 2018 Vol.1
資 料
概 要

1.[基礎研究レポート] 自動車向け Linux ディストリビューション AGL におけるセキュリティ実装の調査・研究

近年、自動運転やリアルタイムな道路交通情報サービスなど、インターネット接続を前提としたコネクテッドカーの研究開発が活発です。それに伴い、コネクテッドカーのインターネットゲートウェイとなると考えられるインフォテイメントへの採用を見込んだ、AGL(Automotive Grade Linux)が開発も進められています。
そこで弊社の研究チームにて、今後の自動車セキュリティに必要なセキュリティ要素の検討と、AGL と Raspberry Pi、クラウド(AWS)を用いた既知脆弱性の有無の調査と可視化を行いました。本レポートでは、その成果の一部を紹介します。

2.[カンファレンスサーベイ] BLACK HAT ASIA 2018

2018年3月20日から23日にかけてシンガポールで開催された、Black Hat Asia 2018 で発表された内容の紹介です。組込み向け OS の脆弱性解析結果や、IoT 機器向けブートローダーに感染するワームについてピックアップします。

3.[カンファレンスサーベイ] RSA CONFERENCE 2018

2018年4月16日から20日にかけてサンフランシスコで開催された、RSA Conference 2018 で発表された内容の紹介です。悪意のある PowerShell コマンドや不正な認証イベントを、機械学習を用いて検知する手法をピックアップします。

4.[カンファレンスサーベイ] CANSECWEST 2018

2018年3月14日から16日にバンクーバーで開催された、CanSecWest 2018 で発表された内容の紹介です。

システムに対する脅威分析におけるコスト及び属人性低減に向けた手法の提案
資 料
出典先 2018年 暗号と情報セキュリティシンポジウム(SCIS2018) 論文集
発行日 2018年1月26日
発表者 小林 鉄平(Teppei Kobayashi)
基礎技術研究室 リサーチ・エンジニア
松木 隆宏(Takahiro Matsuki)
基礎技術研究室長
概 要 脅威分析とは、システムやデバイスにおいてセキュリティ事故や故障の原因となる脅威の有無を分析し、必要な対策を明確にする作業である。要件定義や設計の段階で脅威分析を行う事で、その後のプロセスでは修正が困難な設計上の脆弱性や問題のある仕様を発見、除去する事ができる。

しかしながら、一般に脅威分析には多くの時間を要する。加えて、分析対象とするシステムの詳細知識、及び専門的なセキュリティ知識が要求されるため、開発プロセスの一部として普及していないのが現状である。昨今、様々な技術を用いたシステムやサービスが開発されているが、それらはサイバー攻撃や障害などの脅威への対応が求められている。
安全なシステムを開発する上で脅威分析の実施は必須であるが、規模や複雑さが増すにつれ、過不足なくシステム全体を分析する事は困難となる。

そこで本論文では、過去の分析結果の傾向から、システム中の分析対象とする箇所に優先度を設定する事で、効率的に脅威分析を実施する手法を提案する。さらに、システムのユースケースや機能から体系的にDFD を作成する手法を紹介した後、その成果に対して分析優先度を設定する方法を考察する。
FFRI Research Report 2017 Vol.1
資 料
概 要

1.[基礎研究レポート] システムに対する効率的な脅威分析手法の研究

弊社とパナソニック製品セキュリティセンターが、脅威分析手法について共同で検討した結果の一部をご紹介します。

2.[カンファレンスサーベイ] BLACK HAT ASIA 2017

2017年3月にシンガポールで開催されたBlack Hat Asia 2017のサーベイレポートです。最新の脆弱性攻撃手法の研究を中心に、内容をご紹介します。

3.[カンファレンスサーベイ] BLACK HAT USA 2017

2017年7月にラスベガスで開催されたBlack Hat USA 2017のサーベイレポートです。ランサムウェア対策やハードウェアセキュリティの研究を中心に、内容をご紹介します。

Windows 10セキュリティ評価支援報告書 Phase2
資 料
発表者 金居良治(Ryoji Kanai)
取締役 最高技術責任者
概 要 サイバー攻撃の深刻度は増しており、セキュリティ製品による対策だけではなく、OS等のシステムそのもののセキュリティレベルを維持することが重要となっています。
このような観点からDoD(米国国防総省)などの高いセキュリティレベルを要求される組織でも導入が進められているMicrosoft社のWindows 10のセキュリティ機能について評価を行いました。
「Windows 10 セキュリティリスク抑制効果調査報告 Phase1」(2016年6月公開)の続編となる第2弾ホワイトペーパーです。
Monthly Research 2017年3月
資 料
概 要 TrustZone はメモリ隔離を実現する ARM プロセッサのセキュリティメカニズムです。今回の Monthly Research では、TrustZone のユースケースや TrustZone を使う TEE の動向について紹介します。
Monthly Research 2017年2月
資 料
概 要 今回の Monthly Research では、Android Things Developer Preview 2のセキュリティについて調査を行いました。 この OS のユースケースやセキュリティ設定の変更方法などを紹介します。
Monthly Research 2017年1月
資 料
概 要 今回のMonthly Researchでは2016年12月13日に Google から発表された IoT 向けプラットフォーム Android Things のセキュリティについて調査しました。
Monthly Research 2016年12月
資 料
概 要 2016年11月にロンドンで開催されたBlack Hat Europe 2016のサーベイレポートです。今回は自動車・IoT・標的型攻撃に関する注目のセッションをご紹介します。
IoTとしての自動車とセキュリティ: リモートサービスのセキュリティ評価とその対策の検討
資 料
出典先 CODE BLUE 2016 発表資料
概 要 近年、電気自動車を筆頭にリモートから自動車の位置情報(GPS)の取得や制御を提供するサービスが増えている。
我々は国内外のOEM各社が日本向けに提供しているクライアントアプリを解析、これらのアプリに対するアプリ間連携や通信に利用する証明書検証などの脆弱性の有無に加えて、 攻撃者のリバースエンジニアリングによってこうした問題が発見され、悪用されることを防ぐ難読化などの耐解析技術の適用状況について評価を行った。
Monthly Research 2016年11月
資 料
概 要 脅威分析を支援するツールの1つである Microsoft Threat Modeling Tool 2016 の使用例を紹介します。このツールを使うと DFD から STRIDE に基づいた脅威を自動的に洗い出すことができます。一般的なネットワークカメラシステムを分析対象として、ツールを用いた脅威分析の例を説明します。
Monthly Research 2016年10月
資 料
概 要 脅威分析における脅威の洗い出し方法としてSTRIDEの変化形を紹介します。また、他の脅威分析手法として、設計書や仕様書からセキュリティ要件を導出する手法についても紹介します。
Monthly Research 2016年9月
資 料
概 要 開発したシステムに問題があると情報流出などの被害が発生する危険があります。 そこで、脅威分析を行い脅威を洗い出し対処することによって問題を未然に防ぐことに繋がります。 システムに存在する脅威を見つけ出す作業である脅威分析についてご紹介します。
Monthly Research 2016年8月
資 料
概 要 今年もラスベガスで開催された Black Hat USA 2016 のサーベイレポートです。自動車や IoT のセキュリティの研究を中心に内容をご紹介します。
Monthly Research 2016年7月
資 料
概 要 脆弱性は OS やその上で動作するアプリケーションのみでなく、マザーボードなどのハードウェアに付随する BIOS/UEFI 等にも存在します。今回の Monthly Research は、これらに存在する脆弱性を検査することができる数少ないオープンソースのツールである CHIPSEC について利用方法と検証した結果と共にご紹介します。
Monthly Research 2016年6月
資 料
概 要 毎年 8月にラスベガスで開催される Black Hat USA が今年は 7月30日 から 8月4日 にかけて開催される予定です。 公式サイトには採択された研究発表のアブストラクトが掲載されています。 IoT やハードウェア/組み込みセキュリティに関する発表のアブストラクトを調査し、そのなかで当社が注目している研究を先行研究と共にご紹介します。
Windows 10セキュリティリスク抑制効果調査報告 Phase1
資 料
概 要
  • 80%超の国内企業は、クライアントOSとして既にメインストリームサポートが終了したWindows7を利用している。
  • 攻撃技術の研究が進み、Windows7ではセキュリティ面で不十分である。
  • Windows10ではOS標準として大幅なセキュリティ機能の強化が行われており、セキュリティ面の向上は勿論、総合的なITコストを削減することができる。
  • ビジネス用途のWindows10では、アップデートのサービシングモデルにCBB(Currrent Branch for Business)、 LTSB(Long term Servicing Branch)の2種類があるが、国内ではLTSBを利用しようとする傾向が強い。 LTSBを前提とした運用は、ITの進化に対応できない可能性がある。
Monthly Research 2016年5月
資 料
概 要 様々なIoTデバイスが発売され、それらを活用する取り組みが盛んになってきています。IoTデバイスは今後さらに普及していくことが予想されますが、セキュリティの懸念もあります。そこで、今回のMonthly ResearchではIoTデバイスのセキュリティの現状と題し、近年のインシデントやセキュリティ研究事例、IoTデバイス開発における対策の一部を紹介します。
Monthly Research 2016年4月
資 料
概 要 今回の Monthly Researchでは、今春開催されたセキュリティカンファレンス Black Hat Asia 2016 で発表された研究の中から我々が注目したモバイル、IoT、Windows に関する発表についてご紹介します。
Monthly Research 2016年3月
資 料
概 要 3月上旬に発見されたMacOSXで動作する新しいランサムウェアKeRangerについて解説します。KeRanger は、正規サイトの乗っ取りによる配布、正規のコード署名による Gatekeeperを回避、3日間の潜伏期間を有するという特徴がありました。 ランサムウェアの脅威が Windows 以外にも拡大しているという事実をふまえ、感染予防策および被害低減策の一例を紹介します。
Monthly Research 2016年2月
資 料
概 要 2015年末に発表された ARMv8-M アーキテクチャに搭載されているセキュリティ機能である新しい TrustZone についてご紹介します。
Monthly Research 2016年1月
資 料
概 要 2015年に発生した開発環境や SDK (ソフトウェア開発キット)に含まれる不正なコードによってスマホアプリがマルウェア化した事例を解説します。
Monthly Research 2015年12月
資 料
概 要 2015年10月~11月に開催されたセキュリティカンファレンスの中で、自動車セキュリティに関する発表をピックアップしてご紹介します。
Monthly Research 2015年11月
資 料
概 要 10月28日、29日の2日間、東京で情報セキュリティ専門家の国際カンファレンス「CODE BLUE 2015」が開催されました。 本カンファレンスにFFRIから2名がスピーカーとして参加しましたので、会場の様子や注目した講演について紹介します。
Monthly Research 2015年10月
資 料
概 要 IoTの発展により様々なデバイスがネットに接続され、多くの情報がやり取りされつつあります。そこで、今後更に活用が期待されるセキュリティ技術の1つであるTPM(Trusted Platform Module)についてご紹介します。
Monthly Research 2015年9月
資 料
概 要 自動車セキュリティについて、Black Hat USAやDEF CON以外のカンファレンスではどのような発表が行われたのか紹介したいと思います。 また、今年の6月に公開されたCVSS v3についても解説します。
Monthly Research 2015年8月
資 料
概 要 2015年8月にラスベガスで行われたBlack Hat USA 2015の研究発表をご紹介します。 今年は1万1千人超の来場者が訪れ、110以上の研究発表が行われました。
Monthly Research 2015年7月
資 料
概 要 OS XおよびiOSにおける脅威と直近で報告されたマルウェアや脆弱性、そして近年MacやiPhoneも標的となりつつあるサイバー攻撃から端末を保護する為に確認するべき設定について紹介します。
Windows 10 IoT Core に対する脅威分析と実施するへ゛きセキュリティ対策
資 料
出典先 CODE BLUE 2015 発表資料
概 要 IoT 向けプラットフォーム Windows 10 IoT Core のセキュリティを詳しく調査し、ネットワーク経由での侵入やマルウェア感染のリスクについて分析を行った。
分析の結果、最新の PC 向け Windows と同様にメモリ破壊による脆弱性攻撃への対策として DEP、ASLR、CFG が有効であり、それらが省略されていないことが確認できた。
一方で、いくつかのサービスやコンポーネントのデフォルト設定、仕様がセキュリティ的に適切でないことが判明した。
対策として実施すべき、不要なサービスの停止、設定変更やファイアウォールの有効化、Web インターフェイスの HTTPS 化などを紹介する。
Malware armed with Powershell
資 料
概 要 We have been continuously providing FFRI Dataset(2013-) to CSS/MWS which is an academic symposium held in Japan. The dataset is a set of log files which is generated by Cuckoo Sandbox for approximately 3,000 malware randomly sampled from our collection since Jan to Apr each year. We confirmed a few activities that malware abusing PowerShell on their executions in the dataset. In this slides, we introduce those activities.
Monthly Research 2015年6月
資 料
概 要 今夏にリリースが予定されているIoTデバイス向けOSであるWindows 10 IoT Coreのセキュリティについての調査結果をレポートします。
Monthly Research 2015年5月
資 料
概 要 次世代の車載ネットワークというだけにとどまらず、産業用のネットワーク技術として注目されているEthernetと従来の車載ネットワーク(CAN)の問題点や対策例について調査しました。
TriCoreで動作する自動車用ECUソフトの攻撃手法に関する検討と試行
資 料
動画 https://www.youtube.com/watch?v=BVWF_TfIvyA&feature=youtu.be&a
出典先 CODE BLUE 2014発表資料
発表者 松木 隆宏 (Takahiro Matsuki)
FFRI 基礎技術研究室 室長
岡・デニス・健五(Dennis Kengo Oka)
ETAS シニア・コンサルタント
概 要 ECU software is responsible for various functionality in the vehicle, e.g., engine control and driver assistance systems. Therefore, bugs or vulnerabilities in such systems may have disastrous impacts affecting human life. We consider possible vulnerabilities in ECU software categorized into memory corruption vulnerabilities and non-memory corruption vulnerabilities, and examine attack techniques for such vulnerabilities. Since we did not acquire and reverse-engineer actual ECU software, we first consider in theory how and if attacks are possible under the assumption that there would exist memory corruption vulnerabilities in ECU software. For our investigation, we consider the ECU microcontroller architecture TriCore1797 (TriCore Architecture 1.3.1) from Infineon which exists in a number of ECUs. In contrast to x86 architecture, the return address is not stored on the stack; therefore, we assumed that performing code execution by stack overflow would not be easy. We investigated if it would be possible to perform arbitrary code execution based on approaches from the PC environment and also if other attack approaches could be considered. We considered the following attack approaches: 1) Overwriting a function pointer stored on the stack by performing a buffer overflow to execute code; 2) Overwriting the memory area handling context switching used by TriCore itself to execute code; 3) Overwriting the vector tables used by interrupt and trap functions. Moreover, using a TriCore evaluation board and software created to perform the experiments, we tested the various attack approaches. We confirmed that several attack approaches are not possible due to security mechanisms provided by the microcontroller or differences in the microcontroller architecture compared to traditional CPUs. However, under certain specific conditions, as a result of performing a buffer overflow attack to overwrite a function pointer, we manage to make the TriCore jump to an address of our choosing and execute the code already stored on that location.
Monthly Research 2015年4月
資 料
概 要 WordPressを狙ったweb改ざん攻撃について実際に攻撃に使用されたPoCをもとに、攻撃手法と対策について調査しました。
SLIME: Automated Anti-sandboxing disarmament system
資 料
出典先 Black Hat Asia 2015発表資料
概 要 Recently, a malware is constantly growing which forces malware analysts into hard work. An automated malware analysis can help security engineers, but some malware cannot be run in a sandbox environment. For example, sophisticated malware such as the Citadel and Zeus/GameOver are armed with anti-sandbox techniques to prevent running except on an infected host. These malware detect the execution environment and do not engage in malicious behavior when the current host differs from the infected host. In this presentation, we present an automatically disarmament system for armed malware with anti-sandboxing. The system targets 1) Host-fingerprinting malware like citadel, 2) armed malware with general anti-sandboxing for automated sandbox analyzer. Disarmament approach focuses on exit reasons and exit before activity in malware execution. We developed CPU emulator-based disarmament system with instrumentation. The system suggests a suitable environment for dynamic analysis for individual malware. We will provide statistics of evasive malware in the real world. We will report the result of analysis of large-scale samples.
Monthly Research 2015年3月
資 料
概 要 Windows 10 Technical Preview のセキュリティ機能の概要として、Windows Defender、Project Spartan、Control Flow Guard の3点について調査しました。
Monthly Research 2015年2月
資 料
概 要 今回紹介するIntel Memory Protection Extensions(Intel MPX)は、コンパイラやOS、言語ランタイムによる、より高度なメモリ保護機能を高速に実行するためのCPUの命令拡張です。その具体的な活用例として、GCCコンパイラやLinuxカーネルの対応状況も合わせて調査しました。
FFR yarai analyzer活用事例-Vawtrakの解析-
資 料
概 要 日本国内のオンラインバンキングユーザーを狙った攻撃を行う「Vawtrak」について解析を実施。マルウェア自動解析システム「FFR yarai analyzer」を活用した解析事例を紹介する。
Monthly Research 2015年1月
資 料
概 要 これまで、Linuxにおけるマルウェアの脅威はWindowsのそれと比べて低いとされ、実際にマルウェアの数も多くなく、さほど問題視されていませんでした。しかし、インターネットに接続されたLinuxコンピュータがここ数年で爆発的に増加しており、これらが攻撃者にとってのフロンティアになりはじめています。今月のMonthly Researchでは、Linuxで利用される実行形式であるELF(Executableand Linkable Format)形式のマルウェアについて、botconf2014での発表を中心にサーベイしました。
Monthly Research 2014年12月
資 料
概 要 Control flow guard(以下、Guard CFと表記します)について解説しています。Guard CFは、脆弱性攻撃によって行われる任意の コード実行を防ぐための新しいセキュリティ機能です。2014年12月現在、Windows 10 Technical PreviewとVisual Studio 2015 Previewで試すことができます。
今後活用されるかもしれない、今までとはちょっと違う方向のセキュリティ強化の仕組みについて、興味を持っていただければ幸いです。
TENTACLE: Environment-Sensitive Malware Palpation
資 料
出典先 PacSec 2014発表資料
概 要 Recently, a malware is constantly growing which forces malware analyst in hard work. An automated malware analysis can helps to security engineers, but some malware cannot be run in a sandbox environment. For example, sophisticated malware such as the Citadel and Zeus/GameOver are armed with anti-sandbox techniques to prevent running except on an infected host. These malware detects the execution environment and do not engage in malicious behavior when the current host differs from the infected host.
In this presentation, I present an automatically disarmament system for armed malware with anti-sandboxing. The system targets on 1) Host-fingerprinting malware like citadel, 2) armed malware with general anti-sandboxng for automated sandbox analyzer. An approach of disarmament focuses on exit reason and exit before activity in malware execution. I have developing CPU emulator-based disarmament system with instrumentation. The system suggests a suitable environment for dynamic analysis for individual malware.
Monthly Research 2014年11月
資 料
概 要 今日のインターネットビジネスを支えるクラウド基盤、そこに多く利用されている仮想化技術と、OSコンテナ技術に関して、SELinuxによる隔離という視点でまとめました。
本資料では、Linuxにおけるクラウド管理基盤のlibvirtとそこに組み込まれたSELinuxによる隔離について解説しています。また、今年流行のDockerのような、コンテナ仮想化とそのエコシステムについても、SELinux視点で紹介しています。
Freeze drying for capturing environment sensitive malware alive
資 料
出典先 Black Hat Europe 2014発表資料
概 要 We propose a set of techniques for "freeze drying" malware and restoring the captured malware to enable live process migration. Our system can capture environment-sensitive malware in-process and run it in an environment other than the infected host. Sophisticated malware, such as Citadel and ZeuS/GameOver, are armed with anti-analysis techniques to prevent running except on an infected host. These malwares detect the execution environment and do not engage in malicious behavior when the current host differs from the infected host. We developed a malware capture system called Sweetspot that can capture malware in-process by using process live migration and mimicking the infected host's environment on the analyzer by means of system call proxies. In addition, Sweetspot can serve as a honeypot and provide dummy data when the malware requests sensitive information. In briefings, we will demonstrate freeze-drying and instant dynamic analysis of real malware.
Monthly Research 2014年10月
資 料
概 要 OS X にも毎年新しいマルウェアが出現するようになっています。Web を介したマルウェア感染や水飲み場型攻撃も発生しています。本調査では、これまでに出現した OS X で動作するさまざまなマルウェアとOS X が備えているいくつかのマルウェア対策機能およびOS X に対するセキュリティ研究を紹介します。
Monthly Research 2014年9月
資 料
概 要 昨年から米国で大きな被害を出している POS マルウェアについて調査し、まとめました。被害事例、セキュリティ研究事例、POS システムが狙われる背景とBlackPOS や Backoff という POS マルウェアの挙動を紹介します。また、POS マルウェアへの対策案を示します。
Monthly Research 2014年8月
資 料
概 要 SELinuxの応用の一つである、SE for Androidプロジェクトの概要をまとめました。本来はカーネルレベルのセキュリティモジュールとして実装されているSELinuxと、Androidプラットフォームのセマンティックギャップを埋めるためのMidddlewareMAC(MMAC)をメインに、AndroidにおけるSELinux関連実装を解説しています。
Monthly Research 2014年7月
資 料
概 要 アンチウイルスソフトの検知率の一例として、FFRIが2014年1月から4月に収集した3,000件の既知のマルウェアに対する静的なスキャンによる検知率を紹介します。また、Fuzzy hashing を使ってアンチウイルスで未検知であった検体ファイルの類似度の調査結果を示します。
Monthly Research 2014年6月
資 料
概 要 AndroidやDockerなどの最近普及しているプラットフォームに対して、SELinuxを応用したセキュリティ対策が使われ始めています。今回のMonthly Researchでは、それらの応用について解説するために必要であろうSELinuxの基礎的な内容をまとめました。
Monthly Research 2014年5月
資 料
概 要 実行環境に応じて動作を変えるマルウェアに関して調査を行いました。Hostfingerprintingと呼ばれる、ホストPCの環境固有情報を使って動作環境を識別する手法と、その際に使われる環境固有情報、そしてその実例をメインに報告します。
Monthly Research 2014年4月
資 料
概 要 セキュアなアプリケーション実装の一手法である特権分離について、オープンソースソフトウェアを例に挙げながら、その利点と Linuxでの実装におけるエッセンス、また、実際に適用する際の注意点をまとめました。
Monthly Research 2014年3月
資 料
概 要 Fuzzy hashingの類似度に基づいたマルウェア分類の有効性について評価を行いました。
Monthly Research 2014年2月
資 料
概 要 前回同様ロジスティック回帰分析を用いて実行ファイルの静的情報からマルウェアを分類する手法に関するものです。
Monthly Research 2014年1月
資 料
概 要 Windowsの実行形式ファイル中の情報を回帰分析することでどのような情報がマルウェア検知に有効かを検討する手法についてまとめました。このリサーチは、SAN Institute InfoSec Reading Roomで公開されている「Attributes of Malicious Files」というホワイトペーパーにインスパイアされたものです。
Monthly Research 2013年12月
資 料
概 要 Windows XPからWindows 8までのHeap Exploitに関して調査しました。
Fighting advanced malware using machine learning
資 料
出典先 PacSec2013 発表資料
概 要 In this paper, behavioral-based detection powered by machine learning is introduced. As the result, detection ratio is dramatically improved by comparison with traditional detection.
Needless to say that malware detection is getting harder today. Everybody knows signature-based detection reaches its limit, so that most anti-virus vendors use heuristic, behavioral and reputation-based detections altogether. About targeted attack, basically attackers use undetectable malware, so that reputation-based detection doesn't work well because it needs other victims beforehand. And it is a fact that detection ratio is not enough though we use heuristic and behavioral-based detections. In our research using the Metascan, average detection ratio of newest malware by most anti-virus scanner is about 30 %( the best is about 60 %).
By the way, heuristic and behavioral-based detections are developed by knowledge and experience of malware analyst. For example, most analysts know that following features are indicator that those programs are malicious.
- A file imports VirtualAlloc, VirtualProtect and LoadLibrary only and has a strange section name
- An entry point that does not fall within declared text or code section
- Creating remote threads into a legitimate process like explore.exe
- After unpacking, calling OpenMutex and CreateMutex to avoid multiple infections
- Register itself to auto start extension points like services and registry
- Creating a .bat file and try to delete own itself through executing the file with cmd.exe
- Setting global hook to capture keystroke using SetWindowsHookEx
Heuristic and behavioral-based detections are developed based on those pre-determined features like above. Analysts are finding those features day by day. But, this kind of work is not appropriate for human. Therefore we classified programs as malware or benign by machine learning through dynamic analysis results. Thereby, detection ratio is dramatically improved and we could recognize that which features are strongly related to malware by numeric score. And then, we could find the features which we’ve never found by this method. Finally, the outlook and challenges of this method will be tackled.
Monthly Research 2013年11月
資 料
概 要 マルウェアの挙動に基づいたクラスタリングを試行し、その結果について考察を行いました。
Improving accuracy of malware detection by filtering evaluation dataset based on its similarity
資 料
出典先 MWS2013発表資料
概 要 近年マルウェアの高度化が進んでおりパターンマッチング等の従来方式に基づいたマルウェア検知が困難になっている。新たな検知方式として機械学習を適用した手法が提案されており、従来に比べて高い検出率を実現できることが様々な研究により報告されている。一方でこれら機械学習による分類は、一般に学習データと傾向の異なる評価データについては著しく精度が下がることが知られている。そこで本研究では、評価データを学習データとの類似度に基づいて選別することで選別後の評価データに対して高い検出精度を向上させる手法について考察する。
In recent years, it has been getting more difficult to detect malware by a traditional method like pattern matching because of the improvement of malware. Therefore machine learning-based detection has been introduced and reported that it has achieved a high detection rate compared to a traditional method in various research. However, it is well-known that the accuracy of detection significantly degrades against data that differ from training dataset. This study provides a method to improve accuracy of detection by filtering evaluation dataset based on similarity between evaluation and training dataset.
Monthly Research 2013年10月
資 料
概 要 車載ネットワークセキュリティに関して、近年の動向をまとめてみました。
Monthly Research 2013年9月
資 料
概 要 Oracle VM VirtualBoxを利用したマルウェアの実行時検査の仕組みについて調査、検証した結果をまとめました。
Monthly Research 2013年8月
資 料
概 要 マイクロソフトから8月に出されたセキュリティパッチMS13-063に含まれるASLRバイパスの脆弱性について調査しました。
Monthly Research 2013年7月
資 料
概 要 6月にリリースされたEMET4.0のIEによる証明書チェックの強化と、ROP対策の強化について、特に調査しました。
Monthly Research 2013年6月
資 料
概 要 機械学習のセキュリティ技術応用の可能性について調査、検討した結果をまとめました。
Monthly Research 2013年5月
資 料
概 要 iOS、Androidに代わる新たなスマートフォン・タブレットOSとして注目されているTizenのセキュリティについて調査しました。
Monthly Research 2013年4月
資 料
概 要 SDN(Software Defined Network)を実現する技術として注目されているOpenFlowを対象にセキュリティ上の脅威の調査、分析を行いました。
Monthly Research 2013年3月
資 料
概 要 近年、ハードウェアレベルでセキュリティ的な拡張を行うといった研究や、そのような拡張を実装したハードウェアが複数提案されています。今回は、ARM TrustZone の仕組みをベースに攻撃の可能性や“TEE”を通じたセキュリティハードウェア側の防御の可能性についてさぐります。
Monthly Research 2013年2月
資 料
概 要 2012年12月のMonthly Research の続編として、Man in the Browser in Androidをテーマに、少し深く掘り下げて調査、実証いたしました。
SpyEye解析レポート
資 料
発表者 岡野友輔(Yusuke Okano)
プロダクト開発第二部 エンジニア
概 要 オンラインバンキングユーザーを狙った偽画面事件に代表されるMITB攻撃を行うマルウェアとして有名な「SpyEye」について解析を実施。
「FFRI Limosa」との検証も実施し、その有効性に関しても実証した。
Monthly Research 2013年1月
資 料
概 要 近距離無線通信の国際標準規格であるNFCのセキュリティについて調査いたしました。
Monthly Research 2012年12月
資 料
概 要 オンラインバンキングを狙った偽画面事件に代表されるMITB攻撃がAndroidにおいても可能性があるのかを調査いたしました。
Monthly Research 2012年11月
資 料
概 要 なぜ数学者がGoogleの送信元証明を破ることができたのかを追跡いたしました。
Monthly Research 2012年10月
資 料
概 要 Windows 8セキュリティ第3回はWindows 8から導入されたWindows Store Appに適用されているAppContainerのサンドボックスについて調査いたしました。
ScanNetSecurity寄稿 - [特別寄稿]MITB の脅威と対策
資 料
概 要 Man-in-the-Browser (MITB) とはコンピュータに感染したマルウェアが、ブラウザの拡張機能を用いるなどしてブラウザを乗っ取る攻撃を指します。これによって、ユーザーは本物のWebサイトにアクセスしているように見えるのにも関わらず背後で悪意ある活動が行われてしまうという新しい脅威とその対策について解説します。
Monthly Research 2012年9月
資 料
概 要 Windows 8のセキュリティ第2回目は、脆弱性緩和機能の強化について調査いたしました。
Monthly Research 2012年8月
資 料
概 要

今月からMonthly Researchは、3回にわたりWindows 8のセキュリティについて調査いたします。
今回はその第1回目ということで、Windows 8のセキュリティ機能の概要として注目点についてまとめました。

Monthly Research 2012年7月
資 料
概 要

ここ数年の間に、オンラインバンキングシステムを狙った攻撃の進化が問題視されており、各セキュリティベンダーも警鐘を鳴らしています。
こういったオンラインバンキングシステムを狙った攻撃の中で、MITB(Man in the Browser)と呼ばれている攻撃手法が、以前から脅威として認識されていましたが、近年、このMITBを利用した攻撃がより巧妙さを増してきていることから、今回はMITBでも利用されているブラウザへの新しい攻撃と対策をテーマとしました。

Monthly Research 2012年6月
資 料
概 要 従来のリレーショナルデータベースではSQL Injectionが問題になっており、データベースを利用したアプリケーションの開発者であれば誰もがそのセキュリティ問題を知っていると言ってもよいほどです。
しかし、NoSQLに関しては、これらのデータベースとは利用方法が大きく異なり、セキュリティに関する研究もまだ十分に行われてはいません。今回はこれまでに報告されているNoSQLに関する脆弱性問題について調査しました。
Android:設計上の技術的な問題点
資 料
出典先 Internet Week 2011 ?とびらの向こうに? スマートフォンセキュリティ 発表資料
概 要 急速に普及が進んでいる Android におけるセキュリティ機構や Android アプリケーションの仕組みを紐解きつつ、Android をターゲットとしたマルウェアの説明や root 化の問題、現在の Android 向けアンチウイルスソフトウェアの問題点についての現状を報告する。
Yet Another Android Rootkit - /protecting/system/is/not/enough
資 料
出典先 Black Hat Abu Dhabi 2011 発表資料
概 要 このプレゼンテーションにおいては Android において root 権限を取得したとき何ができ、何ができないのかを解説し、その上で我々が作成した新しいタイプの Android rootkit を示す。この rootkit は root権限のみを必要とし、カーネルや ptrace システムコールを使用しない。また、既存の全てのセキュリティモジュールを回避することが可能である。これらに加え、このプレゼンテーションでは Android 保護機構の難しさ、そして考えられる対抗策を紹介する。
----
This presentation explains what we can/cannot do if we gain root privileges on an Android device, and introduces a new kind of Android rootkit. This rootkit needs only root privileges (no kernel-mode, no ptrace) and bypasses all existing security modules. It also explains difficulties of protection mechanism and possible countermeasures.
ScanNetSecurity寄稿 - [特別寄稿] メーカー別スマートフォンセキュリティ比較
資 料
概 要 急速にビジネス現場への普及と利活用が進むスマートフォンの安全性に関し、Android、iOS、Windows Phone 7を、メーカー別に、共通点と相違点、脅威の現状、必要な対策について解説します。
Windows Phone 7 Internals and Exploitability - ホワイトペーパー
資 料
概 要 Windows Phone 7は、AppleのiOS、GoogleのAndroidと競合するスマートフォン向けのオペレーティングシステムである。現状、競合と比べて後発であるなどの問題から普及はあまり進んでいないものの、アプリケーション配信プラットフォームとサンドボックスを備えた先進的なスマートフォン用オペレーティングシステムであり、第3の選択肢として普及が期待される。
しかし現時点では国内外を問わず、Windows Phone 7のセキュリティに関する詳細な分析報告は少ない。当文書では、我々がWindows Phone 7プラットフォームに対して行ったセキュリティ評価に関する初期報告を行う。
How Security Broken? Japanese / English
資 料
出典先 PacSec 2011発表資料
概 要 日本のスマートフォン用 OS マーケットシェアにおいてAndroid が首位を獲得したことが報道されるなど、Android のセキュリティはとても重要になっている。Android が Linux カーネルをベースにしているのはよく知られているが、セキュリティメカニズムは通常の Linux 環境とかなり異なる。
この資料では Android の内部構造 (Zygote, Prelinking, Intent やその他保護機構) と端末を狙う脆弱性攻撃の可能性、そして、現在のモバイルアンチウイルスソフトウェアが端末全体を守ることができず、対してマルウェアは幾つかの方法でシステムを乗っ取ることができる事実に関して解説、報告する。
Inside Android Security
資 料
概 要 2011年5月、Androidが国内におけるスマートフォン向けOSシェア1位になったこ とが報道された。先発のSymbianやiPhone等においては脆弱性攻撃を悪用したJailbreakやウイルス攻撃等の可能性が実証され、一部蔓延している状況にある。一方、Androidは当初からオープンプラットフォームであるためセキュ リティが懸念されており、昨今においてはその普及に伴いウイルスの急増が報告されている。本セッションでは、こられ背景を鑑み、Android 内部のセキュリ ティの仕組みとそれに起因する脆弱性攻撃の可能性、そして急速に進化しつつあ るマルウェアに対して、現状のAndroid 向けアンチウイルスソフトウェアは限定的な対策しか取れていない現状を報告する。
仮想環境に依存せず詳細な解析能力を持つ動的解析システムの設計と実装 - 発表資料 / ホワイトペーパー
資 料
概 要 新種・亜種のマルウェアは年々急増している。セキュリティベンダーは、これらのマルウェアを解析し対応しなければならないが、そのすべてを手動で解析することは困難である。この問題に対する解決策として、自動でマルウェアを解析する動的解析システムの利用があげられるが、既存の動的解析システムには、不十分な解析能力や仮想環境への依存性などといった問題が存在する。そこで本リサーチペーパーでは、仮想環境に依存せずマルウェアの実行を詳細に解析できる動的解析システムの設計と実装を行い、その有効性を評価した。
GRAPE: Generative Rule-based Generic Stateful Fuzzing
資 料
概 要 We present GRAPE, a rule-based, generative, stateful fuzzer. GRAPE generates fuzz-cases from scratch, and can interpret and incorporate responses to its fuzz-cases in subsequent generations. GRAPE uses a simple scapy-inspired syntax to define the structure of packets (or files, etc) to be sent or received, and a YAML-inspired syntax to define the primitives used to build those structures. Fuzz-cases are arranged as scenarios to direct the generation of fuzz-cases past connections or log-ins, and towards vulnerable paths. This allows GRAPE to fuzz more complex protocols, like HTTP, or stateful protocols like SMTP.
EMETによるSEHOP実装の改良の提案 - Japanese / English
資 料
概 要 マイクロソフトは2010年9月、Enhanced Mitigation Experience Toolkit 2.0 (以降、EMET)をリリースした。EMETはWindows XP, Vista, 7やWindows Server 2003, 2008向けにいくつかのセキュリティ上の防御機能を提供している。EMETはそのうちの1つの防御機能として、SEHOPを提供している。SEHOPは Windows Vista SP1から取り入れられた防御機能であり、Windows XPには本来備わっていない機能であるが、EMETはこのSEHOPをWindows XPにも提供している。本リサーチペーパーでは、このSEHOPの効果について調査し、その問題点と、改良法について整理した。
---
Microsoft released the Enhanced Mitigation Experience Toolkit 2.0 (EMET) in September 2010. EMET provides several vulnerability mitigations for Windows XP, Vista, 7, Windows Server 2003 and 2008. EMET provides SEHOP as one of its mitigations. SEHOP was first introduced in Windows Vista SP1, and is not provided intrinsically for Windows XP. EMET provides SEHOP for Windows XP. This document reports on the effectiveness of EMET's SEHOP, and summarizes the problems and outlines some means by which it may be improved.
Exploring the x64 - Japanese / English
資 料
出典先 PacSec 2010 発表資料
概 要 x64アーキテクチャーを基にしたCPUは、近未来において多数派になるであろう。そこで私達は、x86 CPUでコードを走らせるのと同様な作法でx64 CPUでも走っているコードの分析、フック、インジェクション、エクスプロイットを行いたいと考えた。x86とx64は類似しているが、ディテールはかなり違うものであり、下層のレイヤーではx64に特有のテクニックが存在する。
---
CPUs based on the x64 architecture will be the majority in the near future. Accordingly, we want to analyze, hook, inject and exploit code running on them, in the same manner as we do code running on x86 CPUs. x86 and x64 seem similar, but the details are quite different, and techniques peculiar to x64 exist in the lower layers.
SEH overwrite and its exploitability
資 料
出典先 CanSecWest 2010 発表資料
概 要 SEH(Structured Exception Handling)オーバーライトを用いた攻撃は攻撃者から見た場合に有効な手段であったが、近年さまざまな保護機能が実装されその Exploitはより難しくなってきている。ただし、それでもなお攻撃可能性がなくなったわけではなく、特に一部の保護機能を有効にしていないシステムでは依然として攻撃対象となり得る。各保護機能によってどのような攻撃からシステムを守ることができ、どのような組み合わせをシステムに適用するべきかの考察を行う。
FFR GreenKiller - Automatic kernel-mode malware analysis system
資 料
概 要 Recently kernel-mode malware, such as Rustock variants, have been increasing in number. In Userland, we already have enough tools and environments with which to analyze malware. However, in kernel land, many researchers are still using a kernel debugger. It is really painful work and can be made more efficient.

FFR GreenKiller is an automatic execution analysis system which uses virtualization technology and works under ring -1 privilege. We will introduce the advantages and mechanisms of its approach.
SEHオーバーライトの防御機能とそのExploit可能性
資 料
概 要 SEH(Structured Exception Handling)オーバーライトを用いた攻撃は攻撃者から見た場合に有効な手段であったが、近年さまざまな保護機能が実装されその Exploitはより難しくなってきている。ただし、それでもなお攻撃可能性がなくなったわけではなく、特に一部の保護機能を有効にしていないシステムでは依然として攻撃対象となり得る。各保護機能によってどのような攻撃からシステムを守ることができ、どのような組み合わせをシステムに適用するべきかの考察を行う。
Inside "Winnyp" - Winnypの内部動作とネットワーククローリングシステムの全貌
資 料
出典先 PacSec 2008 発表資料
発表者 石山智祥 (Toshiaki Ishiyama)
技術本部 ソフトウエア開発部長
概 要 日本では、匿名P2Pファイル共有交換システムによる機密情報の漏えいが慢性化しており、大きな社会的問題となっています。これら状況に対応すべく、我々は著名な匿名P2Pソフトウェアである「Winny」や「Share」のコードを静的解析し、内部動作やプロトコルの詳細を公の場で発表して対策を促すといった活動を行ってきました。このような活動により、WinnyやShareに関しては情報漏えい対策の大きなハードルとなっていた高い匿名性が失われつつあり、一定の成果を得られつつあります。しかし、Winnyとプロトコル互換性を持つ「Winnyp」に関しては過去に解析報告が無く、プロトコル認識によるフィルタリングやネットワークスキャン、および、情報漏洩が発生した際の調査などが実施できませんでした。そこで今回、Winnypに実装されている全コードを静的解析し、Winnypの内部動作やプロトコル、および、匿名性を高めるための各種実装を明らかにしました。本発表では、それらを細部まで解説するとともに、「どのIPアドレスのノードが何のファイルを共有しているのか」を調査するためのクローリング手法の詳細を解説します。また、今回開発したWinnypネットワーククローラーを動作させる事で得られたWinnypネットワークの現状について報告します。さらに、Winny、Winnyp、およびShareの静的解析を通じて得られた知見をベースとした、匿名P2Pファイル共有交換システム独特の静的解析アプローチについて解説します。
Inside "Winnyp" - Winnyp Internals and Concepts of Network Crawling
資 料
出典先 PacSec 2008 発表資料
発表者 石山智祥 (Toshiaki Ishiyama)
技術本部 ソフトウエア開発部長
概 要 Leakage of highly classified information through anonymous P2P filesharing networks is becoming a major issue in Japan. In order to counter this threat we have statically analyzed the code of the popular anonymous P2P filesharing softwares "Winny" and "Share", publicly revealed their internals and protocols in detail and created defensive strategies. Apart from these efforts we managed to overcome the high anonymity of Winny and Share that has up until now been an issue while preventing data leakage. However while the filtering and network scanning capabilities of Winny have been uncovered, up until now equal functionality in the protocol compatible "Winnyp" were unharmed, making investigations and enactments upon information leakage outbreaks impossible. Therefore this time we have statically analyzed Winnyp's code completely, taken a look at all the internals and protocols as well as shed light on the many approaches taken to increase anonymity. For the main part, we will in explain how to figure out which node under which IP address shares what files by using crawler technology. We will report on the techniques used by the new Winnyp network crawler as well as the current state of the Winnyp network. Furthermore we will explain the best approaches to the statical analysis of anonymous P2P filesharing systems that we could gather while working on Winny, Winnyp and Share.
「FFR EXCALOC」 コンパイラのセキュリティ機能に基づいたExploitabilityの数値化
資 料
出典先 Black Hat Japan 2008 発表資料
発表者 石山智祥 (Toshiaki Ishiyama)
技術本部 ソフトウエア開発部長
概 要 最近のコンパイラには、さまざまなセキュリティ拡張が実装されています。これら機能により、アプリケーション作成者は、仮に脆弱なアプリケーションをリリースしてしまったとしてもExploitされる可能性を大幅に低減させる事ができるようになりました。しかし、これらのセキュリティ拡張が利用されていないコンパイラを使用して作成されたソフトウェアはいまだ多く存在します。これにより、近年の多くのコンパイラでサポートされているスタック保護や、OSで提供されている安全なヒープマネージメントが機能せず、いまだ traditionalな手法でExploit可能となるケースが多々見受けられます。そこで今回、サポート切れとなっている古いものを含む多数のコンパイラで生成されたオブジェクトの分析を行い、特徴パラメータを抽出し、ソフトウエアのExploitabilityについて数値化する研究を行いました。また、本アルゴリズムを用いたExploitabilityの数値化システムを開発し、一般に提供されている著名なソフトウエアに適用しました。そして、それらソフトウエアの脆弱性検査を行い、数値化されたExploitabilityとの比較を行いました。その結果、本システムを用いることでソフトウエアのExploitabilityを容易に分析できることが分かりました。本システムを用いることで、セキュリティアナリストは致命的な脆弱性が潜むであろうソフトウェアを効率よくピックアップすることが可能になり、効率よく脆弱性の発見を行うことが可能となります。
ハードウェアによる仮想化支援機能を利用したハイパーバイザーIPS
資 料
出典先 Black Hat Japan 2008 発表資料
概 要 近年、マルウェアのステルス化が進んでおり、従来に比べてより検出することが困難になっている。今日のマルウェアは、動的なコードインジェクション、ルートキット技術等の様々なステルス技術を備えている。更に、Trojan.Srizbiのように完全にカーネルモードで動作するマルウェアまで登場している。ルートキットやカーネルモードマルウェアに特化した検出ツールは、数多くリリースされているが、どちらも同じCPUの特権レベルで動作するためそれらはイタチごっこである。そこで今回、ハードウェアによる仮想化支援機能を利用したハイパーバイザーIPSの開発を行った。これは、OSが実行される特権レベルより低い「Ring -1」で動作する。本セッションでは、今日のマルウェアが利用する様々なステルス技術、およびハイパーバイザーIPSを利用してこれらのマルウェアを防止する手段について説明する。
A Hypervisor IPS based on Hardware Assisted Virtualization Technology
資 料
出典先 Black Hat USA 2008 発表資料
概 要 Recently malware has become more stealthy and thus harder to detect, than ever before. Current malware uses many stealth techniques, such as dynamic code injection, rootkit technology and much more. Moreover, we have seen full kernel mode malware like Trojan.Srizbi. Many detection tools were released that specialize in kernel mode malware and especially in the detection of rootkits. However, these tools are a cat and mouse game, because they and the malware are executed on the same privilege level. This is why we developed an IPS based on a hypervisor, which uses features of hardware virtualization. It is executed on Ring-1 and thus runs with higher privileges than the OS layer. In this session, we will talk about stealth mechanisms used by recent malware and demonstrate how to protect against such malware using Hypervisor IPS.
IPA - 近年の標的型攻撃に関する調査研究-調査報告書-
資 料
概 要 FFR研究開発部αUnitは、独立行政法人情報処理推進機構(IPA)の支援の元、特定の企業あるいは組織を標的とした攻撃を行う「標的型攻撃」に関する調査研究を行いました。「近年の標的型攻撃に関する調査研究」としてIPAのWebページに報告書が公開されています。
@IT寄稿 - 5分で絶対に分かるバッファオーバーフロー
資 料
発表者 石山智祥 (Toshiaki Ishiyama)
技術本部 ソフトウエア開発部長
概 要 皆さんがよく利用しているアプリケーションにセキュリティホールが見つかり、「悪意のあるコードが実行される可能性がある」というような内容のニュースをよく耳にします。しかし、自分でインストールしたわけでもなければ、実行させたつもりもない「悪意のあるコード」がなぜ実行できるのでしょうか? 今回は、バッファオーバーフローを利用して、ほかのアプリケーション上で悪意のあるコードが実行される仕組みについて説明していきます。
@IT寄稿 - Inside LSM
資 料
概 要 Linuxカーネル2.6以降にはセキュリティフレームワークとしてLSM(Linux Security Module)が実装されています。本記事ではLSMの仕組みとその活用方法を解説します。

・第1回 知られざるセキュリティフレームワーク「LSM」の役割
・第2回 オリジナルセキュリティモジュールの作成
・最終回 オリジナルセキュリティモジュールを拡張する
リバースエンジニアリングとセキュリティ脆弱性分析[PDF]
資 料
発表者 鵜飼裕司 (Yuji Ukai)
代表取締役社長
概 要 近年、0-day脆弱性なども多数悪用されるなど、脆弱性を狙った攻撃はより深刻化しつつあります。攻撃者側はリバースエンジニアリングを駆使して脆弱性を発見するなど、近年、攻撃者側の脆弱性発見・分析スキルのプロ化が進んでいます。そこで、本プレゼンテーションでは、近年の脅威と攻撃者が注目する脆弱性のトレンドやリバースエンジニアリングによる効率的な脆弱性発見のポイント、近年のファイルフォーマット系脆弱性と発見のコツ、ファイルフォーマット系脆弱性の実例と発見のアプローチなどを紹介します。
ITPro寄稿 - マルウェアの解析対策を無効にするAnti-Anti-Debuggingツールを開発
資 料
発表者 鵜飼裕司 (Yuji Ukai)
代表取締役社長
概 要 最近のMalwareは、解析対策の一環としてAnti-Debuggingを実装しているものが増えており、解析がやや面倒になっています。Anti-Debuggingの手法として最も利用されているIsDebuggerPresent()、およびPEB(Environment Block)のBeingDebuggedフラグ参照によるデバッガ検出を無効にする方法を解説します。
システムコールフックを使用した攻撃検出[PDF]
資 料
発表者 金居良治 (Ryoji Kanai)
取締役 最高技術責任者
概 要 システムコールフックという技術を通して、OS に対して独自に作成した拡張機能を追加するにはどのようにすれば良いのかを紹介します。本プレゼンテーションでは、書き込み属性のあるメモリ領域からのシステムコール呼び出しを禁止する、という独自カーネルモジュールを作成しました。これにより、単純なスタック/ヒープベースのバッファオーバーフロー発生時のセキュリティリスクを低減する事が可能になります。
ITPro寄稿 - セキュリティチェックの定番「ポートスキャナ」
資 料
発表者 金居良治 (Ryoji Kanai)
取締役 最高技術責任者
概 要 ・第1回 ポート・スキャナ,使いこなせますか
・第2回 OS情報検出のひみつ
・第3回 実際にOSを検出してみる
・第4回 新GUI:tracerouteからネットワーク図を自動描画
最新ポートスキャナ対策[PDF]
資 料
発表者 金居良治 (Ryoji Kanai)
取締役 最高技術責任者
概 要 nmapや各種セキュリティ脆弱性スキャナには、対象でどのようなサービスが動作しているかをリモートから検出するためのポートスキャナが実装されています。ペネトレーションテストや脆弱性管理では必須の技術ですが、攻撃の前段階における調査手法一つとしても定着しています。本資料では、ポートスキャンを無効化するためのいくつかの技術を紹介します。また、システムの通常運用に影響を与えることなく、簡単にポートスキャンを無効化するフォティンフォティの独自手法を紹介します。
組み込みシステムのセキュリティ[PDF]
資 料
発表者 鵜飼裕司 (Yuji Ukai)
代表取締役社長
概 要 近年、携帯電話や家庭用ゲーム機、情報家電など、さまざまな組み込み機器がインターネットに接続し、電子商取引などが活発に行われるようになってきました。しかし、セキュリティ研究は主にデスクトップPCやサーバで動作するOSやアプリケーションにフォーカスしており、組み込みシステムの分野では十分に議論がなされていません。しかし、組み込みシステムを狙う攻撃は年々増加しており、また、古典的な脆弱性を持つ製品も多数存在する事から、組み込みシステムは攻撃者にとって格好のターゲットになりつつあります。そこで本プレゼンテーションでは、組み込みシステムのバッファオーバーフロー脆弱性にフォーカスし、その脅威分析について解説します。

HOME ≫ セキュリティ・レポート

pagetop