IP Force 特許公報掲載プロジェクト 2022.1.31 β版

知財求人 - 知財ポータルサイト「IP Force」

▶ 日本電気株式会社の特許一覧

<>
  • 特許-分析システム、方法、及び、プログラム 図1
  • 特許-分析システム、方法、及び、プログラム 図2
  • 特許-分析システム、方法、及び、プログラム 図3
  • 特許-分析システム、方法、及び、プログラム 図4
  • 特許-分析システム、方法、及び、プログラム 図5
  • 特許-分析システム、方法、及び、プログラム 図6
  • 特許-分析システム、方法、及び、プログラム 図7
  • 特許-分析システム、方法、及び、プログラム 図8
  • 特許-分析システム、方法、及び、プログラム 図9
  • 特許-分析システム、方法、及び、プログラム 図10
  • 特許-分析システム、方法、及び、プログラム 図11
  • 特許-分析システム、方法、及び、プログラム 図12
  • 特許-分析システム、方法、及び、プログラム 図13
  • 特許-分析システム、方法、及び、プログラム 図14
< >
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2023-11-28
(45)【発行日】2023-12-06
(54)【発明の名称】分析システム、方法、及び、プログラム
(51)【国際特許分類】
   G06F 21/53 20130101AFI20231129BHJP
   G06F 21/56 20130101ALI20231129BHJP
【FI】
G06F21/53
G06F21/56 360
【請求項の数】 13
(21)【出願番号】P 2022119188
(22)【出願日】2022-07-27
(62)【分割の表示】P 2020182033の分割
【原出願日】2016-06-13
(65)【公開番号】P2022141917
(43)【公開日】2022-09-29
【審査請求日】2022-08-16
(31)【優先権主張番号】P 2015120712
(32)【優先日】2015-06-16
(33)【優先権主張国・地域又は機関】JP
(73)【特許権者】
【識別番号】000004237
【氏名又は名称】日本電気株式会社
(74)【代理人】
【識別番号】100109313
【弁理士】
【氏名又は名称】机 昌彦
(74)【代理人】
【識別番号】100149618
【弁理士】
【氏名又は名称】北嶋 啓至
(72)【発明者】
【氏名】川北 将
【審査官】岸野 徹
(56)【参考文献】
【文献】特開2006-318292(JP,A)
【文献】特開2011-013917(JP,A)
【文献】特開2012-221170(JP,A)
【文献】特表2013-514594(JP,A)
【文献】朝長秀誠、田中英彦,Botnetの命令サーバドメインネームを用いたBot感染検出方法,情報処理学会研究報告 2006-CSEC-35-3,日本,情報処理学会,2006年12月08日,Vol.2006 No.129,p13-18
【文献】大月 勇人 外3名,マルウェア観測のための仮想計算機モニタを用いたシステムコールトレース手法,情報処理学会論文誌,日本,情報処理学会,2014年09月15日,Vol.55,No.9,pp.2034-2046
【文献】泉田 大宗,動的エミュレーションと静的解析を併用したバイナリコードの解析手法,情報処理学会研究報告 平成21年度▲6▼ [DVD-ROM],日本,社団法人情報処理学会,2010年04月15日,第1-8頁
(58)【調査した分野】(Int.Cl.,DB名)
G06F 21/53
G06F 21/56
(57)【特許請求の範囲】
【請求項1】
コンピュータが、
マルウェアが第1の実行環境を判定するために行う動作と、前記マルウェアに前記第1の実行環境を第2の実行環境と認識させる処理との対応付けを記憶し、
前記マルウェアを前記第1の実行環境で実行し、
前記動作を検知し、
前記対応付けに基づいて前記処理を実行する、
方法。
【請求項2】
前記第1の実行環境は、前記第2の実行環境を模倣した環境である、
請求項1に記載の方法。
【請求項3】
前記第1の実行環境は、仮想化基盤を用いた仮想マシンを用いて構築される、
請求項1に記載の方法。
【請求項4】
前記処理は、前記第1の実行環境を変更する処理を含む
請求項1に記載の方法。
【請求項5】
前記処理は、前記第1の実行環境で前記マルウェアが前記動作を実行した結果を、前記マルウェアが前記動作を前記第2の実行環境で実行した結果と、略同等に加工する、
請求項1に記載の方法。
【請求項6】
さらに、前記第1の実行環境の構成を表示する信号を出力する、
請求項1に記載の方法。
【請求項7】
マルウェアが第1の実行環境を判定するために行う動作と、前記マルウェアに前記第1の実行環境を第2の実行環境と認識させる処理との対応付けを記憶する構成情報保持手段と、
前記マルウェアを前記第1の実行環境で実行する、実行手段と、
前記動作を検知する、検知手段と、
前記対応付けに基づいて前記処理を実行する、対応手段と、
を備える分析システム。
【請求項8】
前記第1の実行環境は、前記第2の実行環境を模倣した環境である、
請求項7に記載の分析システム。
【請求項9】
前記第1の実行環境は、仮想化基盤を用いた仮想マシンを用いて構築される、
請求項7に記載の分析システム。
【請求項10】
前記処理は、前記第1の実行環境を変更する処理を含む、
請求項7に記載の分析システム。
【請求項11】
前記処理は、前記第1の実行環境で前記マルウェアが前記動作を実行した結果を、前記マルウェアが前記動作を前記第2の実行環境で実行した結果と、略同等に加工する、
請求項7に記載の分析システム。
【請求項12】
さらに、前記第1の実行環境の構成を表示する信号を出力する、模倣構成表示手段を備える、
請求項7に記載の分析システム。
【請求項13】
コンピュータに、
マルウェアが第1の実行環境を判定するために行う動作と、前記マルウェアに前記第1の実行環境を第2の実行環境と認識させる処理との対応付けを記憶し、
前記マルウェアを前記第1の実行環境で実行し、
前記動作を検知し、
前記対応付けに基づいて前記処理を行う、
ことを実行させる、プログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は分析対象であるプログラム(ソフトウェア・プログラム)を分析環境において実行することにより、当該プログラムの動作を分析可能な分析システム等に関する。
【背景技術】
【0002】
近年、稼働環境に配備された各種情報処理装置(例えば、各種コンピュータや通信装置等)において不正な処理を実行するプログラム(例えば、マルウェア等の各種ソフトウェア・プログラム)に起因する、セキュリティの脅威が問題となっている。係る問題に対処すべく、例えば、SoC(Security Operation Center)やCSIRT(Computer Security Incident Response Team)等の組織において、マルウェアの分析が行われている。
【0003】
マルウェアの分析作業には、分析用の環境において当該マルウェアを動作させることにより、システムコールの呼び出し、あるいは、ネットワークアクセスなどに関する記録を採取する作業が含まれる場合がある。係る分析用の環境は、記録の採取に際してマルウェアの本来の動きを阻害しないこと、また、分析用の環境以外の環境に対する各種セキュリティの脅威(例えば、不正アクセス等)を低減可能であることが望ましい。以下、係る分析用の環境を「保護環境」、情報処理装置等が実際に稼働する環境を「実稼働環境」と称する場合がある。
【0004】
保護環境は、各種仮想化基盤を用いた仮想マシン(バーチャルマシン)を用いて構築される場合が多い。また、保護環境は実稼働環境そのものではない。よって、保護環境は、実稼働環境とは異なる特徴を有する場合が多い。一方、係る保護環境の特徴等を用いて保護環境と実稼働環境の差異を検知し、マルウェア自体の本来の動作(動作)を隠蔽するマルウェアが存在する。
【0005】
このようなマルウェア等の不正なプログラムの分析(解析)に関連する技術が、例えば、以下の特許文献に開示されている。特許文献1は、保護された実行環境(サンドボックス環境)を用いて、実行可能プログラムの動作を評価する技術を開示する。特許文献1に開示された技術は、プログラムの動作をリアルタイムに解析した結果に基づいて、当該プログラムを動作させる動作環境を、サンドボックス環境、又は、通常の環境のいずれから選択する。
【0006】
特許文献2は、ユーザが要求する計算機環境の需要に基づいて、解析対象のマルウェアを実行するための実行環境を構築し、構築した実行環境のうち、ユーザの計算機環境と類似する実行環境を選択してマルウェアを解析する技術を開示する。
【0007】
特許文献3は、マルウェアを導入するシェルコードを解析することにより、マルウェアを動作させる動作環境を構築するための情報を収集するとともに、構築した動作環境においてマルウェアを動作させることにより、その動作を解析する技術を開示する。
【0008】
特許文献4は、マルウェアを実行するマルウェア実行環境と、マルウェアが実行する通信のプロトコルに応じた仮想的な通信データを生成して送受信する仮想ネットワーク環境とを構築する技術を開示する。係る技術は、マルウェア実行環境においてマルウェアを実行するとともに、マルウェアが実行する通信処理に対して仮想的な通信データを応答することにより、ネットワークへの接続を確認するマルウェアの動作を解析する。
【0009】
特許文献5は、隔離された環境に配置されたマルウェア実行用端末におけるマルウェアの実行ログと、ダミーサーバに対するマルウェアの通信ログとを用いて、マルウェアの動作を解析する技術を開示する。
【0010】
特許文献6は、プログラムにブレークポイントを設定し、係るブレークポイントにおける当該プログラムの動作を解析することにより、当該プログラムがマルウェアであるか否かを判定する技術を開示する。
【0011】
また、仮想マシンにおける各種資源(リソース)の管理に関連して、特許文献7は、複数の物理資源を使用する仮想マシンシステムにおいて、各資源の余剰量が特定のポリシ(余剰ポリシ)に適合するように、仮想マシンの配置を制御する技術を開示する。
【先行技術文献】
【特許文献】
【0012】
【文献】特開2014-238870号公報
【文献】特開2012-221170号公報
【文献】特開2011-013917号公報
【文献】特開2009-181335号公報
【文献】特開2007-334536号公報
【文献】国際公開第2004/075060号
【文献】特開2010-146420号公報
【発明の概要】
【発明が解決しようとする課題】
【0013】
上記したように、近年のマルウェアは、保護環境において実行された場合、本来の動作とは異なる動作を実行する場合がある。この場合、当該マルウェアの分析に支障をきたす、という問題が生じる。しかしながら、実稼働環境においてマルウェアを動作させて分析することは、困難である場合が多い。分析中にマルウェアが意図しない動作を引き起こし、情報漏洩や外部ネットワークへの攻撃等、セキュリティ侵害を引き起こす可能性があるからである。
【0014】
これに対して、特許文献1に開示された技術は、実行可能プログラム(例えばマルウェア)がサンドボックス環境を検知して動作を変更する可能性を、十分に考慮していない。特許文献2に開示された技術は、予め収集されたユーザの計算機環境や、リソース毎の脆弱性情報に基づいて、需要が高まると予想される実行環境を選択(提供)するに過ぎない。特許文献3に開示された技術は、シェルコードを解析した結果等に基づいてマルウェアの実行環境を構築するものの、マルウェアは当該実行環境が保護環境に構築されたことを検知する可能性がある。特許文献4乃至特許文献6に開示された技術は、それぞれマルウェアが通常の処理を実行することを前提として、マルウェアに対して疑似的な応答を通知ことにより、マルウェアの動作を解析する技術である。即ち、これらの技術は、保護環境を検知した結果に基づいて動作を変更するマルウェアの動作を十分に分析できない可能性がある。
【0015】
本発明は、上記した事情を鑑みてなされたものである。即ち、本発明は、プログラムの動作に応じて適切な分析環境を構築することにより、当該プログラムの本来の動作を分析可能な分析システム等を提供することを、主たる目的の一つとする。
【課題を解決するための手段】
【0016】
上記の目的を達成すべく、本発明の一態様に係る方法は、以下の構成を備える。即ち、本発明の一態様に係る方法は、コンピュータが、マルウェアが第1の実行環境を判定するために行う動作と、上記マルウェアに上記第1の実行環境を第2の実行環境と認識させる処理との対応付けを記憶し、上記マルウェアを前記第1の実行環境で実行し、上記動作を検知し、上記対応付けに基づいて上記処理を実行する。
【0017】
また、本発明の一態様に係る分析方法は、以下の構成を備える。即ち、本発明の一態様に係る分析システムは、マルウェアが第1の実行環境を判定するために行う動作と、上記マルウェアに上記第1の実行環境を第2の実行環境と認識させる処理との対応付けを記憶する構成情報保持手段と、上記マルウェアを上記第1の実行環境で実行する、実行手段と、上記動作を検知する、検知手段と、上記対応付けに基づいて上記処理を実行する、対応手段と、を備える。
【0018】
本発明の一態様に係るプログラムは、以下の構成を備える。即ち、本発明の一態様に係るプログラムは、コンピュータに、マルウェアが第1の実行環境を判定するために行う動作と、上記マルウェアに上記第1の実行環境を第2の実行環境と認識させる処理との対応付けを記憶し、上記マルウェアを前記第1の実行環境で実行し、上記動作を検知し、上記対応付けに基づいて上記処理を行う、ことを実行させる。
【0019】
また、同目的は、上記プログラムが格納されている、コンピュータ読み取り可能な記憶媒体によっても達成される。

【発明の効果】
【0020】
本発明によれば、プログラムの動作に応じて適切な分析環境を構築することにより、当該プログラムの本来の動作を分析することが可能である。
【図面の簡単な説明】
【0021】
図1図1は、本発明の第1の実施形態における分析システムの機能的な構成を例示するブロック図である。
図2図2は、本発明の第1の実施形態における分析システムに含まれる、動作分析部の機能的な構成を例示するブロック図である。
図3図3は、本発明の第1の実施形態における分析システムに含まれる、構成部の機能的な構成を例示するブロック図である。
図4図4は、本発明の第1の実施形態に係る仮想的な装置が接続される仮想的なネットワークの構成に用いられる情報の具体例を示す説明図である。
図5図5は、本発明の第1の実施形態に係る仮想的な装置におけるビデオボードの構成に用いられる情報の具体例を示す説明図である。
図6図6は、本発明の第1の実施形態に係る仮想的な装置におけるI/O(Input/Output)ポートの構成に用いられる情報の具体例を示す説明図である。
図7図7は、本発明の第1の実施形態に係る仮想的な装置におけるプロセッサ情報の構成に用いられる情報の具体例を示す説明図である。
図8図8は、本発明の第1の実施形態に係る仮想的な装置におけるファイルシステムの構成に用いられる情報の具体例を示す説明図である。
図9図9は、本発明の第1の実施形態における分析システムの動作を例示するフローチャートである。
図10図10は、本発明の第1の実施形態において、仮想装置の構成を表示する表示画面の具体例を示す説明図である。
図11図11は、本発明の第2の実施形態における分析システムの機能的な構成を例示するブロック図である。
図12図12は、本発明の第2の実施形態における分析システムを、単体の装置として実現可能な分析装置の構成を例示するブロック図である。
図13図13は、本発明の第2の実施形態の変形例に係る分析システムの機能的な構成を例示するブロック図である。
図14図14は、本発明の各実施形態における分析システムを実現可能なハードウェア構成を例示する説明図である。
【発明を実施するための形態】
【0022】
<第1の実施形態>
以下、本発明を実施する形態について図面を参照して詳細に説明する。以下の各実施形態に記載されている構成は例示であり、本発明の技術範囲はそれらには限定されない。
【0023】
なお、以下において説明する分析システムは、単体の装置(物理的あるいは仮想的な装置)を用いて構成されてもよい。この場合、係る分析システムは、単体の分析装置として機能する。また、係る分析システムは、複数の装置(物理的あるいは仮想的な装置)により構成されてもよい。この場合、係る分析システムを構成する複数の装置の間は、有線、無線、又はそれらを任意に組み合わせた通信ネットワーク(通信回線)により通信可能に接続されてもよい。なお、係る通信ネットワークは、物理的な通信ネットワークであってもよく、仮想的な通信ネットワークであってもよい。
【0024】
[構成の説明]
以下、第1の実施形態における分析システムの構成について図1を参照して説明する。図1に例示されるように、第1の実施形態における分析システム100は、動作分析部101と、構成部102とを備える。動作分析部101は単体の動作分析装置として実現されてもよく、構成部102は、単体の構成装置として実現されてもよい。動作分析部101と、構成部102との間は、任意の通信手段(通信路)を介して通信可能に接続されている。
【0025】
動作分析部101は、マルウェア等の分析対象であるプログラム(分析対象プログラム)を仮想環境(後述する模倣環境に相当)において実行することにより、当該プログラムの動作を分析する処理を実行する。分析対象プログラムは、例えば、任意の実行可能コード、スクリプト、デバイスドライバ、あるいは、ライブラリ等、各種形式により実装されたプログラムであってよい。また、係る分析対象プログラムは、当該分析対象プログラム自体が実行されている実行環境を判定可能な検知動作(以下、「稼働環境判定処理」と称する場合がある)を実行可能である。稼働環境判定処理は、例えば、分析対象プログラム自体が実稼働環境で実行されているか否かを判定可能な処理であってもよく、分析対象プログラム自体が模倣環境において実行されているか否かを判定可能な処理であってもよい。なお、以下においては、分析対象プログラムの具体例として、マルウェアを分析する場合について説明する。
【0026】
図2に例示するように、動作分析部101は、検体保持部201、検体準備部(検体準備手段)202、検体分析部(検体分析手段)203、実行命令検知部(実行命令検知手段)204、及び、検知結果送信部(検知結果送信手段)205を備える。また、動作分析部101は、装置模倣部(装置模倣手段)206、模倣設定受信部(模倣設定受信手段)207、分析結果格納部(分析結果格納手段)208、及び、分析結果保持部209を含む。また、動作分析部101は、更に、模倣構成表示部(模倣構成表示手段)210を含んでもよい。
【0027】
構成部102は、動作分析部101においてプログラムが実行される仮想環境を構築し、当該プログラムの動作に応じて係る仮想環境の構成を変更(調整)する処理を実行する。構成部102は、図3に例示するように、検知結果受信部(検知結果受信手段)301、構成調整部(構成調整手段)302、模倣設定送信部(模倣設定送信手段)303、及び、構成情報保持部304を含む。以下、これらの構成要素について説明する。
【0028】
検体保持部201は、予め収集されたマルウェア(以下「検体」と称する場合がある)を記録可能な、任意のデータ保持手段である。検体保持部201は、例えば、マルウェアの実行可能データ(実行可能ファイル等)を格納可能なデータベース、あるいは、ファイルシステム等を用いて実現されてもよい。
【0029】
検体準備部202は、検体保持部201からマルウェアの検体を取り出し(選択し)、検体分析部203に出力する。具体的には、検体準備部202は、例えば、検体保持部201のデータベースにおいて、分析対象のマルウェアの検体を検索し、当該検索したマルウェアの検体を検体分析部203に出力してもよい。
【0030】
検体分析部203は、マルウェアの検体を後述する模倣環境において実行する。具体的には、検体分析部203は、例えば、後述する装置模倣部206によって設定された模倣環境における仮想的な装置(仮想装置)において、マルウェアの検体を新たなプロセスとして実行してもよい。検体分析部203は、マルウェアの実装形式(単体の実行ファイルか、スクリプト、ライブラリ、あるいはデバイスドライバ等)に応じて、適宜適切な実行方法を選択してよい。検体分析部203は、係るマルウェアの分析に用いられる任意の情報を収集し、係る情報に基づいて分析結果を生成してもよい。
【0031】
実行命令検知部204は、マルウェアの検体が実行する動作(以下、単に「マルウェアの動作」と称する場合がある)を検知する。具体的には、実行命令検知部204は、例えば、検体が実行しようとしている実行命令、及び、当該実行命令を実行する際に用いられるデータを抽出し、これらを検知結果とする。係る実行命令は、例えば、検体が実行するオペコードであってもよく、当該実行命令を実行する際に用いられるデータは、例えば、係るオペコードに対する引数であってもよい。なお、上記に限定されず、係る実行命令は、例えば、各種システムコール、API(Application Programming Interface)、関数等の呼び出しであってもよい。
【0032】
実行命令検知部204は、検体を実行する仮想装置(仮想マシン)を実現する仮想化基盤の機能を用いて、仮想装置において実行される実行命令を取得(トラップ)することが可能である。実行命令検知部204は、例えば、トラップした実行命令のうち、一部の命令を当該仮想装置が稼働される情報処理装置(例えば物理的なコンピュータ等)に転送し、他の命令について特定の処理を実行してもよい。各仮想化基盤(VMware(登録商標)やHyper-V(登録商標))毎に、仮想装置が実行する実行命令(例えば、オペコード)を取得(トラップ)する機能が提供されており、実行命令検知部204は係る機能を利用してよい。
【0033】
検知結果送信部205は、後述する検知結果受信部301に対して、任意の通信手段(有線又は無線による通信回線、あるいは、これに類する電気的回線)を用いて、上記実行命令検知部204による検知結果を送信する。
【0034】
装置模倣部206は、検体分析部203が検体を実行する際に用いる、模倣環境(「第2の実行環境」と称する場合がある)を構築する。また、装置模倣部206は、後述する構成部102からの指示に応じて、上記模倣環境の構成を変更する。
【0035】
係る模倣環境は、上記説明した保護環境に相当し、実稼働環境(「第1の実行環境」と称する場合がある)の少なくとも一部の構成(構成要素)を模倣可能な仮想装置を少なくとも含む。なお、係る模倣環境は、1以上の仮想装置と、当該仮想装置を実現する仮想化基盤(仮想化ミドルウェア等)とにより構成されてもよい。この場合、実稼働環境の構成を模倣することは、実稼働環境を構成する構成要素と同等又は略同等の機能を実現するよう、模倣環境(特には仮想装置)を構成することを表す。
【0036】
装置模倣部206は、例えば、実稼働環境を模倣するように、仮想装置の構成を動的に変更することにより、模倣環境の構成を変更してもよい。具体的には、装置模倣部206は、模倣設定受信部207(後述)が受信した模倣設定情報に基づいて、仮想装置の構成を動的に変更することにより、模倣環境の構成を変更してもよい。
【0037】
仮想装置は、例えば、仮想化基盤において提供される仮想的な情報処理装置であり、通信手段(通信ネットワークへの接続手段)、ビデオカード、I/O(Input/Output)ポート、CPU、ファイルシステム等の構成要素を備える。仮想装置を構成する構成要素は、例えば、実稼働環境における情報処理装置等を構成する構成要素と同等又は略同等の機能を提供可能であってもよい。係る仮想装置は、例えば、各種仮想化基盤(例えば、VMware(登録商標)、Hyper-V(登録商標)等)を用いて実現可能である。
【0038】
模倣設定情報は、実稼働環境の構成を模倣するように、仮想装置の構成要素を設定可能な情報である。本実施形態において、模倣設定情報を用いて設定された仮想装置は、マルウェアが当該仮想装置において稼働環境判定処理を実行した場合に以下のような実行結果を、当該マルウェアに対して通知可能である。即ち、模倣設定情報を用いて設定された仮想装置は、係るマルウェアに対して、係るマルウェアが実稼働環境において稼働環境判定処理を実行した場合の結果と同等又は略同等の実行結果を通知可能である。換言すると、模倣設定情報は、あるマルウェアが仮想装置において実行した稼働環境判定処理の実行結果と、実稼働環境において実行した稼働環境判定処理の実行結果とが、同等又は略同等になるように、模倣環境(より具体的には仮想装置)を構成することが可能な情報である。
【0039】
模倣設定情報を用いて設定された仮想装置においてマルウェアが実行された場合、係るマルウェアは、当該マルウェア自身が実行されている環境が模倣環境であると判定することができない。なぜならば、当該マルウェアが実行する稼働環境判定処理に対して、模倣環境(より具体的には仮想装置)から、実稼働環境と同等又は略同等の応答が通知されるからである。
【0040】
また、模倣設定情報は、例えば、あるマルウェアの動作に対する第2の実行結果が、当該マルウェアの動作に対する第1の実行結果を模倣(偽装)可能なダミー情報を含むように、模倣環境を構成することが可能な情報であってもよい。係るダミー情報は、例えば、第1の実行結果から、マルウェアに対して通知すべきではない情報(機密情報等)を隠蔽、削除、あるいは、加工した情報であってもよい。また、係るダミー情報は、マルウェアに対して模倣環境の構成(構成要素)を偽装することが可能な情報であってもよい。具体的には、係るダミー情報は、例えば、偽装した仮想的なネットワーク構成を表す情報、あるいは、偽装した仮想的なハードウェア構成を表す情報であってもよい。
【0041】
係る模倣設定情報を用いて設定された仮想装置においてマルウェアが実行された場合、係るマルウェアは、当該マルウェア自身が実行されている環境が模倣環境であると認識することができない。なぜならば、当該マルウェアが実行する稼働環境判定処理に対して、模倣環境(より具体的には仮想装置)から、実稼働環境における応答を模倣(偽装)した応答が通知されるからである。
【0042】
模倣設定受信部207は、後述する模倣設定送信部303から、任意の通信手段(有線又は無線による通信回線、あるいは、これに類する電気的回線)を用いて、模倣設定情報を受信する。模倣設定受信部207は、受信した模倣設定情報を、装置模倣部206に出力する。
【0043】
分析結果格納部208は、検体分析部203により実行されたマルウェアの実行結果を、マルウェア検体の分析結果としてまとめて、分析結果保持部209に出力する。係る検体の分析結果は、例えば、実行命令検知部204が検知した検知結果を含んでもよい。なお、上記に限らず、係る検体の分析結果は、検体分析部203が検体を実行する過程で分析した任意の情報を含んで良い。
【0044】
分析結果保持部209は、上記検体の分析結果を複数記録可能な、任意のデータ保持手段である。分析結果保持部209は、例えば、上記分析結果のデータを格納可能なデータベース、あるいは、ファイルシステム等用いて実現されてもよい。
【0045】
模倣構成表示部210は、装置模倣部206が構築した模倣環境の構成を任意の表示手段に対して出力する。具体的には、模倣構成表示部210は、例えば、上記仮想装置の構成(構成要素)を、ディスプレイ装置等における表示画面に表示してもよい。
【0046】
次に、構成部102の構成要素について説明する。検知結果受信部301は、検知結果送信部205から、実行命令検知部204において検知された検知結果を受信する。検知結果受信部301は、受信した検知結果を、構成調整部302に出力する。
【0047】
構成調整部302は、検知結果受信部301から入力として受け付けた検知結果を用いて、後述する構成情報保持部304に保持されている模倣設定情報を検索する。係る模倣設定情報は、上記したように、仮想装置の構成を設定可能な情報である。具体的には、構成調整部302は、例えば、検知結果キーとして、構成情報保持部304において当該検索結果に関連付けされた適切な模倣設定情報を検索し、係る検索結果を模倣設定送信部303に出力する。
【0048】
模倣設定送信部303は、構成調整部302から受け付けた模倣設定情報を、任意の通信手段を用いて模倣設定受信部207に送信する。
【0049】
構成情報保持部304は、上記検知結果と、模倣設定情報とを関連付けて保持する任意のデータ保持手段である。具体的には、構成情報保持部304は、例えば、上記検知結果をキーとして模倣設定情報を表すデータを値とするデータベースを用いて実現されてもよい。
【0050】
本実施形態においては、あるマルウェアの動作に対して、所定の模倣設定情報が予め構成情報保持部304に登録されていてもよい。この場合、例えば、分析システム100の利用者(あるいは管理者)が、既知のマルウェアの動作や、マルウェアの予測可能な動作に対して予め適切な模倣設定情報を作成し、構成情報保持部に登録してもよい。予め登録されるマルウェアの動作は、既知の脆弱性情報、既知のマルウェア情報、セキュリティ侵害事件(セキュリティインシデント)に関する情報等に基づいて抽出されてもよい。また、本実施形態においては、分析システム100がマルウェアの動作を分析した結果に基づいて、構成情報保持部に登録される模倣設定情報を適宜追加あるいは更新してもよい。なお、以下説明にする具体例においては、構成情報保持部304は、図4図5図6図7、及び、図8に例示する模倣設定情報を保持する。
【0051】
上記説明した分析システム100の構成は一例に過ぎず、分析システム100を実現可能な構成は、上記に限定されない。例えば、上記動作分析部101あるいは構成部102を構成するそれぞれの構成要素は、他の構成要素と統合されてもよい。また、これらの構成要素は、更に細かい粒度の構成要素に分解されてもよい。
【0052】
[動作の説明]
本実施形態における分析システム100の動作について、図9に例示するフローチャートを用いて説明する。
【0053】
まず、動作分析部101は、初期化処理として、模倣環境を初期化する(ステップS901)。具体的には、装置模倣部206が模倣環境を構成する仮想装置を初期化するとともに、実稼働環境に対する最低限の模倣を実現するよう設定する。なお、装置模倣部206は、新たに仮想装置を構築してもよく、既存の仮想装置の設定を変更してもよい。
【0054】
次に、検体準備部202は、検体保持部201から分析対象となるマルウェアの検体を取得(選択)し、検体分析部203に出力する(ステップS902)。検体準備部202は、例えば、本システムの利用者(不図示)によって指定された分析対象のマルウェアの検体を、検体保持部201を構成するデータベースから検索し、当該検索した検知を検体分析部203に出力してもよい。
【0055】
次に、検体分析部203が、ステップS902において選択された検体を、ステップS901で初期化された模倣環境において実行する(ステップS903)。具体的には、検体分析部203は、係る検体を実行するよう仮想装置を制御してもよい。検体分析部203は、当該検体の実行を開始する際、例えば、仮想装置に対して上記検体を導入(インストール)するとともに、当該検体を仮想装置におけるプロセスとして実行してもよい。
【0056】
上記ステップS903により、検体の実行が開始された後、実行命令検知部204は、検体が実行する命令(実行命令)と、当該実行命令に用いるデータ(引数)とを抽出する(ステップS904)。具体的には、実行命令検知部204は、例えば、検体が実行する実行命令のオペコードと、当該実行命令に対する引数とを抽出する。これにより、実行命令検知部204は、マルウェアの検体が実行する動作を検知する。実行命令検知部204は、抽出した実行命令と引数とを検知結果として、検知結果送信部205に出力する。実行命令検知部204がマルウェアの動作を検知したタイミングで、検体分析部203が当該マルウェアの実行を一時的に停止してもよい。
【0057】
検知結果送信部205は、実行命令検知部204からの出力された検知結果を構成部102における検知結果受信部301へ送信する。検知結果受信部301は、検知結果送信部205から受信した検知結果を、構成調整部302に出力する。
【0058】
次に、構成調整部302は、検知結果受信部301から受け付けた検知結果を用いて、構成情報保持部304から、模倣設定情報を取得(選択)する(ステップS905)。構成調整部302は、例えば、検知結果に含まれる実行命令のオペコードと引数とをキーとして、構成情報保持部304を構成するデータベースを検索し、当該検知結果に関連付けされた模倣設定情報を取得してもよい。これにより、構成調整部302は、検体の動作に応じて、どのように仮想装置を構成するかを表す模倣設定情報を適切に選択可能である。
【0059】
構成調整部302は、検索結果(模倣設定情報)を模倣設定送信部303に出力する。模倣設定送信部303は、構成調整部302から受け付けた模倣設定情報を、動作分析部101における模倣設定受信部207に送信する。模倣設定受信部207は、受信した模倣設定情報を、装置模倣部206に出力する。
【0060】
装置模倣部206は、受信した模倣設定情報に基づいて、模倣環境の構成を変更する(ステップS906)。具体的には、装置模倣部206は、模倣環境における仮想装置の構成を、模倣設定情報に合致するように変更する。これにより、検体分析部203が検体を分析する際に用いる模倣環境の構成が変更される。例えば、上記ステップS904の結果、マルウェアによる稼働環境判定処理が検知された場合、ステップS906において、係る検知結果に関連付けされた模倣設定情報を用いて模倣環境の構成が変更される。これにより、係る稼働環境判定処理を実行したマルウェアに対して、例えば、実稼働環境と同等又は略同等の応答が、模倣環境(特には仮想装置)から通知される。よって、係るマルウェアは、当該マルウェア自体が模倣環境で実行されていることを判定することができない。よって、係るマルウェアは、マルウェア本来の処理を隠蔽することなく実行する。即ち、係る処理により、本実施形態における分析システム100は、マルウェア自体が模倣環境において分析されていることを当該マルウェアに気付かれることなく、当該マルウェアを分析可能である。
【0061】
なお、検体分析部203は、ステップS904においてマルウェアの実行が一時的に停止されている場合、装置模倣部206における構成の変更が完了した後に当該マルウェアの実行を再開してもよい。
【0062】
次に、模倣構成表示部210は、模倣環境の構成を表示画面に表示する(ステップS907)。模倣構成表示部210は、例えば、図10に例示するような表示画面を用いて、模倣環境(あるいは仮想装置)において変更された構成を自動的に表示してもよい。模倣構成表示部210は、例えば、模倣環境(あるいは仮想装置)において変更された構成を強調表示してもよい。なお、本実施形態における模倣環境の構成を表示する方法は、図10に例示する具体例に限定されない。模倣構成表示部210は、適宜適切な方法を用いて、模倣環境の構成を表示してよい。
【0063】
次に、検体分析部203は、模倣環境における検体の実行が終了したか否かを判定する。検体の実行が終了した(即ち、全ての実行命令が実行された)場合(ステップS908においてYES)、検体分析部203は、分析結果格納部208に検体の分析結果を出力する。この場合、分析結果格納部208は、係る分析結果を、分析結果保持部209へ格納(登録)する(ステップS909)。
【0064】
なお、検体分析部203は、上記ステップS908において検体の実行が終了していない場合(ステップS908においてNO)、ステップS903に戻って、処理を続行する。このようにして、検体分析部203は、当該検体に実装された全ての実行命令が実行されるまで、上記説明した処理を継続する。
【0065】
上記のように構成された本実施形態における分析システム100は、マルウェア自体が模倣環境において分析されていることを当該マルウェアに気付かれることなく、当該マルウェアを分析可能である。なぜならば、分析システム100においては、マルウェアが実行する特定の動作(例えば、稼働環境判定処理)に対して、実稼働環境を模倣可能な応答が模倣環境から返されるからである。即ち、本実施形態においては、装置模倣部206が、マルウェアの動作に応じて実稼働環境を模倣した模倣環境を構築する。これにより、当該マルウェアは、模倣環境(分析用の環境)において実行されていることを認識することができない。よって、マルウェアは本来の動作を隠蔽することなく実行することから、本実施形態における分析システム100は、マルウェアの動作に影響を与えることなく、当該マルウェアの本来の機能を分析可能である。
【0066】
また、本実施形態における分析システム100は、マルウェアの動作に応じて構成調整部302が選択した模倣設定に基づいて、模倣環境の構成を適宜設定(変更)する。上記説明したように、本実施形態における模倣環境(仮想装置)は、例えば、実稼働環境に対する最低限の模倣を実現するように初期化される。そして、模倣環境において、マルウェアの動作(例えば、稼働環境判定処理)に対して適切な実行結果を返すために必要な構成要素の設定が、模倣設定に基づいて変更される。これより、分析システム100は、実稼働環境を模倣するように設定される模倣環境の構成要素を、例えば、マルウェアが稼働環境判定処理において検知する構成要素に限定することが可能である。これにより、分析システム100は、模倣環境(特には仮想装置)の処理負荷を低減し、実行速度を向上することが可能である。なぜならば、模倣環境において実稼働環境を模倣するよう設定される構成要素が多い程、実稼働環境を模倣するための処理が増加するので、これに伴い、多くの計算資源が必要となるからである。分析システム100は、模倣環境において実稼働環境を模倣するよう設定される構成要素を適切に限定することにより、実稼働環境を模倣するための処理に伴う計算資源を低減可能である。
【0067】
以上より、本実施形態における分析システム100によれば、マルウェア等を含むプログラムの動作に応じて適切な分析環境を構築することにより、当該プログラムの本来の動作を分析することが可能である。
【0068】
以下、具体例を用いて、本実施形態に係る分析システムの具体的な動作について説明する。
【0069】
[第1の具体例]
以下、本実施形態の第1の具体例として、分析対象のマルウェアの動作に応じて、模倣環境のネットワーク構成が設定(変更)される場合について説明する。この場合、構成情報保持部304には、例えば、図4に例示するネットワーク構成情報が登録されている。図4に例示するネットワーク構成情報には、マルウェアの動作を検知した検知結果(検知内容402)と、当該検知結果に関連付けされた模倣設定情報(構成内容403)との組合せが、項目として含まれる。なお、図4に例示するように、ネットワーク構成情報は、検知内容402と、構成内容403との組合せを識別可能な項番401を含んでもよい。
【0070】
以下、本具体例における分析システム100の動作について説明する。上記説明したように、分析システム100の利用者(不図示)がマルウェアの分析を開始した際、動作分析部101は初期化処理を実行し(ステップS901)、装置模倣部206を実稼働環境に対する最低限の模倣を実行するように設定する。利用者は、検体保持部201から任意のマルウェアの検体を取り出すとともに、係る検体の実行を準備するよう検体準備部202を制御する(ステップS902)。検体分析部203が選択された検体の実行を開始し(ステップS903)、実行命令検知部204によって検体が実行する命令のオペコードと引数が抽出される(ステップS904)。抽出されたオペコード及び引数が、検知結果として、検知結果送信部205、及び、構成部102の検知結果受信部301を通じて、構成調整部302へ送られる。
【0071】
本具体例においては、マルウェアの検体が、例えば、イントラネット内へのアクセスが可能か否かを判定した結果に基づいて、実稼働環境か否かを判定することを想定する。係るイントラネットは、例えば、構内LAN(Local Area Network)等を用いて構築された内部ネットワークである。係る内部ネットワークには特定のアドレス範囲が割り当てられてもよい。係る内部ネットワークは、例えばIP(Internet Protocol)ネットワークであってもよく、上記アドレス範囲は、例えば、IPネットワークにおけるプライベートアドレスの範囲であってもよい。
【0072】
この場合、例えば、実行命令検知部204が、マルウェアの動作として、イントラネット内へのアクセス処理を検知する。この場合、オペコードとして「ネットワークへのアクセス」(例えば、ネットワーク接続処理に用いられるシステムコールを実行するオペコード等)が検知され、係るオペコードの引数として「イントラネット内のIPアドレス」が検知される。
【0073】
構成調整部302は、上記検知結果をキーとして構成情報保持部304を参照(検索)する。図4に例示するように、構成情報保持部304には、検知内容402として「少なくとも1回の、内部ネットワークへのアクセスあり」(項番401が「10003」の項目)が登録されている。これより、構成調整部302は、係る検知内容402に関連付けされた構成内容403を取得する。図4に例示するように、係る構成内容403は「内部ネットワークを仮想的に構築する」設定と、「検体に対して、構築した内部ネットワークへのアクセスを許可する」設定とを含む。構成調整部302は、係る構成内容403を選択し、模倣設定情報として模倣設定送信部303に出力する(ステップS905)。模倣設定情報は、模倣設定送信部303から、模倣設定受信部207を通じて装置模倣部206に送られる。
【0074】
装置模倣部206は、係る模倣設定情報と合致するように、模倣環境を変更する(ステップS906)。装置模倣部206は、例えば、模倣設定情報に基づいて仮想装置が接続される仮想ネットワークの構成を設定する。具体的には、装置模倣部206は、仮想装置が接続される仮想ネットワークとして、仮想のIPネットワークを構築し、係るIPネットワークに対して特定のIPアドレス範囲(例えば、プライベートアドレスの範囲)を割り当てる。そして、装置模倣部206は、仮想装置から、構築した仮想的な内部ネットワークに対するアクセスを許可するよう、仮想ネットワーク(あるいは仮想ネットワークにおける仮想的な通信機器)を設定する。なお、これらの仮想ネットワークの構築及び設定は、例えば、仮想装置を提供する仮想化基盤(例えば、VMware(登録商標)や、Hyper-V(登録商標)等)毎に予め用意された機能を用いて実現可能である。変更された仮想装置の構成は模倣構成表示部210によって表示され、利用者は係る構成を確認可能である。
【0075】
上記装置模倣部206による処理の結果、検体分析部203が検体を実行した際、係る検体による内部ネットワークへのアクセスは、仮想的な内部ネットワークへのアクセスとして処理される。そして、仮想装置は、検体に対して、係る仮想的な内部ネットワークに対するアクセスが許可された場合の実行結果を通知(応答)する。
【0076】
マルウェア検体の実行が終了するまで上記処理が繰り返され、検体分析部203が分析結果格納部208を用いて、検体の分析結果を分析結果保持部209へ格納する。利用者は、例えば、分析結果保持部209から係る分析結果を取り出し、検体の分析結果を確認する。
【0077】
なお、図4に例示するネットワーク構成に設定された項番401が「10003」以外の項目についても、分析システム100は、上記と同様の処理を実行する。例えば、検知されたマルウェアの動作が、項目「10002」の検知内容402に該当する場合、検体はローカルホストにアクセスする。この場合、装置模倣部206は、項目「10002」の構成内容403に基づいて、ローカルホストへのアクセスを許可するよう、仮想装置を設定する。
【0078】
例えば、検知されたマルウェアの動作が項目「10004」の検知内容402に該当する場合、マルウェアは、攻撃者が用意した外部ネットワーク(外部サイト)にアクセスする。係る攻撃者が用意した外部ネットワークは、例えば、外部のネットワークに存在する攻撃者が用意したサーバ(例えば、ボット制御サーバ)、あるいは、攻撃者によって制御されている踏み台サーバであってもよい。また、係る攻撃者が用意した外部ネットワークは、例えば、攻撃用のネットワーク(例えば、ボットネット等)であってもよい。この場合、装置模倣部206は、構成内容403に基づいて、攻撃者が用意した外部ネットワークに対するアクセスを許可するよう模倣環境を設定する。具体的には、装置模倣部206は、例えば、接続元を隠蔽可能な特定の通信路(例えば、TOR(The Onion Router)による通信路)を介した外部ネットワークに対するアクセスを許可するよう、模倣環境を設定してもよい。これにより、分析システム100は、特定の攻撃用ネットワークに対する接続を確認するマルウェアの動作を分析することが可能である。
【0079】
なお、本具体例においては、攻撃者が用意した外部ネットワークを識別可能な情報(例えば接続先アドレス、通信に用いるポート番号、あるいは、通信データのパターン、等)が、予め分析システム100に登録されていてもよい。それらの情報は、例えば、構成情報保持部304に保持されていてもよい。攻撃者が用意した外部ネットワークを識別可能な情報は、例えば、既知の脆弱性情報、既知のマルウェア情報、セキュリティ侵害事件(セキュリティインシデント)に関する情報等に基づいて抽出されてもよい。また、分析システム100は、検体を分析した結果に基づいて、新たなネットワークを攻撃者が用意した外部ネットワークとして登録してもよく、登録されているネットワークの情報を更新してもよい。
【0080】
また、検知されたマルウェアの動作が項目「10005」の検知内容402に該当する場合、マルウェアは、攻撃者が用意した外部ネットワーク以外の外部ネットワークにアクセスする。この場合、装置模倣部206は、構成内容403に基づいて、係る外部ネットワークに対するアクセスを拒否するよう模倣環境を設定する。これにより、分析システム100は、マルウェアによる汚染されていない外部ネットワークに対する攻撃を妨害可能である。なお、上記に限定されず、装置模倣部206は、例えば、外部ネットワークとの間で送受信される通信データを改変するように、模倣環境を設定してもよい。
【0081】
なお、分析システム100は、項目「10001」の構成内容403を、標準的な(デフォルトの)ネットワーク構成として、模倣環境における仮想ネットワークを設定してもよい。この場合、マルウェア検体がネットワークにアクセスしないことから、装置模倣部206は、仮想装置からの全てのネットワークアクセスを拒否するよう、模倣環境における仮想ネットワークを設定する。この場合、実稼働環境を模倣可能な仮想ネットワークを構築する必要がないことから、装置模倣部206は、実稼働環境の模倣に要する処理負荷を低減可能である。
【0082】
上記のように構成された分析システム100は、マルウェアが実行する、通信ネットワークに対するアクセス処理に応じて、模倣環境の設定を適切に変更可能である。これにより、分析システム100は、特定のネットワークに対するアクセス処理の結果に基づいて実稼働環境か否かを判定するマルウェアを、適切に分析可能である。
【0083】
[第2の具体例]
以下、本実施形態の第2の具体例について説明する。本具体例における分析システム100は、マルウェアが実行する描画処理デバイス(ビデオカード等)を用いた稼働環境判定処理に対して、実稼働環境を模倣する適切な応答を通知可能である。この場合、構成情報保持部304には、例えば、図5に例示するビデオ構成情報が登録されている。図5に例示するビデオ構成情報には、マルウェアの動作を検知した検知結果(検知内容502)と、当該検知結果に関連付けされた模倣設定情報(構成内容503)との組わせが項目として登録されている。なお、図5に例示するように、ビデオ構成情報は、検知内容502と、構成内容503との組合せを識別可能な項番501を含んでもよい。
【0084】
本具体例における分析システム100(特には装置模倣部206)は、模倣設定情報に基づいて、仮想装置における仮想的な描画処理デバイス(ビデオカード等)に関する設定を変更する。また、分析システム100は、マルウェアが仮想的な描画処理デバイスにアクセスした場合の仮想装置の動作を、模倣設定情報に基づいて変更してもよい。係る変更により、装置模倣部206は、仮想的な描画処理デバイスを用いて稼働環境判定処理を実行したマルウェアに対して、仮想装置が以下のような実行結果を通知することを可能とする。即ち、仮想装置は、係るマルウェアに対して、当稼働環境判定処理が物理的な描画処理デバイスを用いて実行された場合の結果を模倣した実行結果を通知する。より具体的には、仮想装置は、マルウェアに対して、上記稼働環境判定処理が物理的な描画処理デバイスに対して実行された場合の結果と同等か、略同等である実行結果を通知してもよい。
【0085】
以下、本具体例における分析システム100の動作について説明する。本具体例における分析システム100の動作は、ステップS905及びステップS906を除いて上記第1の具体例と同様であることから、詳細な説明を省略する。
【0086】
実行命令検知部204が、マルウェアの動作として描画処理デバイス(ビデオカード)への直接アクセスを検出した場合を想定する。この場合、実行命令検知部204は、例えば、ビデオカードを構成するGPU(Graphics Processing Units)が提供する特定の機能(例えば3次元描画命令や、汎用演算命令等)を呼び出すオペコードと、当該オペコードに対する引数とを検知する。
【0087】
図5に例示するように、構成情報保持部304には、検知内容502として「少なくとも1回の、ビデオカードへの直接アクセスあり」(項番501が「11002」の項目)が登録されている。これより、構成調整部302は、係る検知内容502に関連付けされた構成内容503を取得する。図5に例示するように、係る構成内容503は、「仮想マシンが提供するビデオボードに対するI/O処理(入出力処理)を、実在する(実機の)ビデオボードに転送する」設定を含む。構成調整部302は、係る構成内容503を選択し、模倣設定情報として模倣設定送信部303に出力する(ステップS905)。模倣設定情報は、模倣設定送信部303から、模倣設定受信部207を通じて装置模倣部206に送られる。
【0088】
装置模倣部206は、係る模倣設定情報と合致するように、模倣環境を変更する(ステップS906)。この場合、装置模倣部206は、仮想装置に含まれる仮想的な描画処理デバイス(ビデオカード)の設定を変更してもよい。具体的には、装置模倣部206は、例えば、仮想装置のビデオカードに対するアクセス(I/O処理)処理が、当該仮想装置が稼働する実機(物理的な情報処理装置等)に搭載されたビデオカードに転送されるよう、仮想装置におけるビデオカードの設定を変更する。なお、係るアクセス処理の転送は、仮想装置を提供する仮想化基盤毎に予め用意された機能(例えば、PCIe(Peripheral Component Interconnect Express)パススルー、あるいは、PCIパススルー等)を用いて実現可能である。
【0089】
上記装置模倣部206による処理の結果、検体分析部203により実行されたマルウェアの検体によるビデオカードへのアクセスは、当該仮想装置が稼働する実機に搭載されたビデオカードに転送される。そして、仮想装置は、実機に搭載されたビデオカードによる処理結果を検体に対して通知(応答)する。これにより、分析システム100は、ビデオカード等の描画処理デバイスの存在あるいは機能等に基づいて実稼働環境を判定するマルウェアを、適切に分析可能である。
【0090】
なお、構成内容503に登録される設定(模倣設定)は、上記に限定されない。例えば、標準VGA(Video Graphics Array)に対応したビデオカードと、3次元グラフィクスに対応した仮想的なビデオカードと、を選択する設定が、構成内容503に登録されてもよい。この場合、装置模倣部206は、標準VGA対応のビデオカードを備えるように仮想装置を初期化し、マルウェアの動作に応じて、3次元グラフィクスに対応した仮想的なビデオカードを備えるように仮想装置の構成を変更可能である。係るビデオカードに関する構成の変更は、例えば、仮想装置を提供する仮想化基盤の機能を用いて実現可能である。
【0091】
図5に例示するビデオ構成情報に設定された項番501が「11002」以外の項目についても、分析システム100は、上記と同様の処理を実行する。
【0092】
また、分析システム100は、項目「11001」の構成内容503を、標準的なビデオカードの構成として、仮想装置を設定してもよい。この場合、マルウェアの検体がビデオカードに直接アクセスしないことから、装置模倣部206は、標準設定(例えば、標準VGA対応のビデオカードの設定)を用いて、仮想装置のビデオカードを設定する。この場合、仮想装置は、実稼働環境における処理負荷が高いグラフィックス処理を模倣する必要がない。よって、装置模倣部206は、実稼働環境の模倣に要する仮想装置の処理負荷を低減可能である。
【0093】
[第3の具体例]
以下、本実施形態の第3の具体例について説明する。本具体例における分析システム100は、マルウェアが実行する入出力ポート(I/Oポート)を用いた稼働環境判定処理に対して、実稼働環境を模倣する適切な応答を通知可能である。この場合、構成情報保持部304には、例えば、図6に例示するI/Oポート構成情報が登録されている。図6に例示するI/Oポート構成情報には、上記各具体例と同様、マルウェアの動作を検知した検知結果(検知内容602)と、当該検知結果に関連付けされた模倣設定情報(構成内容603)との組合せが項目として含まれる。なお、図6に例示するように、I/Oポート構成情報は、検知内容602と、構成内容603との組合せを識別可能な項番601を含んでもよい。
【0094】
本具体例における分析システム100(特には装置模倣部206)は、例えば、模倣設定情報に基づいて仮想装置における仮想的なI/Oポートに関する設定を変更する。また、分析システム100は、例えば、マルウェアが仮想的なI/Oポートにアクセスした場合の仮想装置の動作を、模倣設定情報に基づいて変更してもよい。
【0095】
係る変更により、装置模倣部206は、例えば、仮想的なI/Oポートに対して稼働環境判定処理を実行したマルウェアに対して、仮想装置が以下のような実行結果を通知することを可能とする。即ち、仮想装置は、係るマルウェアに対して、当該稼働環境判定処理が物理的なI/Oポートに対して実行された場合の結果を模倣した実行結果を通知する。より具体的には、係る変更により、仮想装置は、稼働環境判定処理が物理的なI/Oポートに対して実行された場合の結果と同等か、略同等である実行結果を、マルウェアに対して通知してもよい。
【0096】
本具体例における分析システム100の動作は上記各具体例と同様であることから、詳細な説明を省略し、装置模倣部206の動作についてのみ説明する。
【0097】
例えば、検知されたマルウェアの動作が、項目「12002」の検知内容602に該当する場合、検体はI/Oポートに直接アクセスする。この場合、装置模倣部206は、項目「12002」の構成内容603に基づいて、仮想マシンが使用する特定のI/Oポートを隠蔽するよう、仮想装置を設定する。係る隠蔽対象のI/Oポートは、例えば、特定の仮想装置に特有のI/Oポート(例えば、仮想装置に接続するためのバックドア用I/Oポート)等であってもよい。装置模倣部206が係るI/Oポートを隠蔽した場合、マルウェアの検体は、当該検体自身が仮想装置において実行されていることを検知できない。これにより、分析システム100は、特定のI/Oポートに対するアクセス処理に基づいて実稼働環境か否かを判定するマルウェアを、適切に分析可能である。
【0098】
なお、構成内容603は上記に限定されない。構成内容603には、例えば、マルウェア検体からの特定のI/Oポートに対するアクセスを、仮想装置を稼働する実機における特定のI/Oポートに転送するような設定が登録されてもよい。仮想装置のI/Oポートに対するアクセスを、実機のI/Oポートに転送する処理は、仮想化基盤毎に用意された機能を用いて実現してもよい。また、構成内容603には、例えば、マルウェア検体からの特定のI/Oポートに対するアクセスに対して、ダミーの応答を通知するような設定が含まれてもよい。係るダミーの応答は、例えば、仮想装置に含まれないデバイスに対するI/Oポートを介したアクセスに対して、係るデバイスからの応答を偽装する応答であってもよい。
【0099】
なお、分析システム100は、項目「12001」の構成内容603を、標準的な(デフォルトの)I/Oポート構成として、仮想装置に設定してもよい。この場合、マルウェアの検体がI/Oポートにアクセスしないことから、装置模倣部206は、標準設定として、必要最低限のI/Oポートを備えるように仮想装置を設定してもよい。この場合、装置模倣部206は、実稼働環境の模倣に要する仮想装置の処理負荷を低減可能である。
【0100】
[第4の具体例]
以下、本実施形態の第4の具体例について説明する。本具体例においては、マルウェアの動作に応じて、適切なプロセッサ情報がマルウェアに通知される。この場合、構成情報保持部304には、例えば、図7に例示するプロセッサ構成情報が登録されている。図7に例示するプロセッサ構成情報には、上記各具体例と同様、マルウェアの動作を検知した検知結果(検知内容702)と、当該検知結果に関連付けされた模倣設定情報(構成内容703)との組合せが項目として含まれる。なお、図7に例示するように、プロセッサ構成情報は、検知内容702と、構成内容703との組合せを識別可能な項番701を含んでもよい。
【0101】
本具体例における分析システム100(特には装置模倣部206)は、模倣設定情報に基づいて、仮想装置における仮想的なプロセッサを特定可能な情報を変更する。また、分析システム100(特には装置模倣部206)は、マルウェアが仮想的なプロセッサを特定するための処理を実行した場合の仮想装置の動作を、模倣設定情報に基づいて変更してもよい。係る変更により、装置模倣部206は、プロセッサを特定するための処理を実行したマルウェアに対して、以下のような実行結果を仮想装置が通知することを可能とする。即ち、仮想装置は、係るマルウェアに対して、当該処理が物理的なプロセッサに対して実行された場合の結果を模倣する実行結果を通知する。より具体的には、係る変更により、仮想装置は、上記処理が物理的なプロセッサに対して実行された場合の結果と同等か、略同等である実行結果を、マルウェアに対して通知してもよい。なお、プロセッサを特定可能な情報は、係るプロセッサのベンダを識別可能な情報、係るプロセッサのモデル(型番)情報、係るプロセッサがサポートしている実行命令に関する情報等、プロセッサに関する任意の情報を含んでもよい。
【0102】
本具体例における分析システム100の動作は上記各具体例と同様であることから、詳細な説明を省略し、装置模倣部206の動作についてのみ説明する。
【0103】
例えば、検知されたマルウェアの動作が、項目「13002」の検知内容702に該当する場合、検体はプロセッサ情報にアクセスする。この場合、実行命令検知部204が、例えば、マルウェア検体が実行した特定の実行命令(例えば、Intel社製のCPUにおける「CPUID」命令等)を検知する。これに対して、装置模倣部206は、項目「13002」の構成内容703に基づいて、係る実行命令に対する処理結果として、仮想装置を稼働する実機のプロセッサ情報を通知するよう、模倣環境を設定する。具体的には、装置模倣部206は、仮想装置において実行されたプロセッサ情報を判定可能な実行命令をトラップし、当該命令に対して実機のプロセッサ情報を通知するよう、仮想装置(または模倣環境)を設定してもよい。これにより、分析システム100は、プロセッサ情報に基づいて実稼働環境か否かを判定するマルウェアを、適切に分析可能である。
【0104】
なお、分析システム100は、項目「13001」の構成内容703を、標準的なプロセッサ構成情報として、仮想装置に設定してもよい。この場合、マルウェアの検体がプロセッサ情報にアクセスしないことから、装置模倣部206は、例えば、上記プロセッサ情報を判定可能な実行命令に対して仮想装置を構成する仮想的なプロセッサの情報を通知するよう仮想装置を設定してよい。この場合、装置模倣部206は、実稼働環境の模倣に要する仮想装置の処理負荷を低減可能である。
【0105】
[第5の具体例]
以下、本実施形態の第5の具体例として、分析対象のマルウェアの動作に応じて、模倣環境におけるファイルシステムの構成が設定される場合について説明する。この場合、構成情報保持部304には、例えば、図8に例示するファイルシステム構成情報が登録されている。図8に例示するファイルシステム構成情報は、上記各具体例と同様、マルウェアの動作を検知した検知結果(検知内容802)と、当該検知結果に関連付けされた模倣設定情報(構成内容803)とを項目として含む。なお、図8に例示するように、ファイルシステム構成情報は、検知内容802と、構成内容803との組合せを識別可能な項番801を含んでもよい。
【0106】
本具体例における分析システム100の動作は上記各具体例と同様であることから、詳細な説明を省略し、装置模倣部206の動作についてのみ説明する。
【0107】
例えば、検知されたマルウェアの動作が、項目「14002」の検知内容802に該当する場合、検体は仮想装置のファイルシステム(具体的には、ファイルシステム上に構成されたフォルダ)にアクセスする。この場合、実行命令検知部204が、例えば、マルウェア検体が実行した特定の実行命令(例えば、ファイルあるいはフォルダに対するアクセス命令等)を検知する。
【0108】
これに対して、装置模倣部206は、項目「14002」の構成内容803に基づいて、以下の処理を実行する。即ち、装置模倣部206は、仮想装置において、実稼働環境と同様のフォルダ構成を構築する。装置模倣部206は、例えば、実稼働環境におけるフォルダ構成を、仮想装置にコピーしてもよい。そして、装置模倣部206は、仮想装置に構築されたフォルダ構成において、機密情報を含むファイルあるいはフォルダ等を、マルウェアの検体から隠蔽するよう加工する。具体的には、装置模倣部206は、機密情報を含むファイルあるいはフォルダ等を削除してもよく、ダミーのデータに置き換えてもよい。なお、この場合、機密情報に該当するファイル又はフォルダを特定可能な情報が、分析システム100(例えば、構成情報保持部304)に予め登録されていてもよい。
【0109】
上記処理の結果、マルウェア検体が実行したファイルシステムへのアクセス命令に対する結果として、仮想装置に構築されたフォルダ構成に対するアクセス処理命令の結果が、仮想装置から通知される。この場合、マルウェア検体は、自身が模倣環境において実行されていることを判定できない。よって、分析システム100は、ファイルシステムの構成に基づいて実稼働環境か否かを判定するマルウェアを、適切に分析可能である。
【0110】
なお、分析システム100は、項目「14001」の構成内容803を、標準的なファイルシステム構成(フォルダ構成)として、仮想装置に設定してもよい。この場合、マルウェアの検体はファイルシステム(フォルダ構成)にアクセスしないことから、装置模倣部206は、例えば、仮想装置において所定の標準的なフォルダ構成を構築してもよい。この場合、装置模倣部206は、実稼働環境の模倣に要する仮想装置の処理負荷を低減可能である。
【0111】
上記各具体例においては、例えば、装置模倣部206が、ステップS901において、各標準設定(項目10001、11001、12001、13001、及び、14001)の構成内容を用いて、模倣環境及び仮想装置を初期化してもよい。
【0112】
以上、上記各具体例を用いて、本実施形態における分析システム100の動作について説明したが、分析システム100は上記具体例には限定されない。分析システム100は、上記と同様の処理により、マルウェアの動作に応じて、模倣環境あるいは仮想装置を構成する他の構成要素を適切に設定可能である。例えば、マルウェアがBIOS(Basic Input Output System)にアクセスする場合は、分析システム100は、係るBIOSアクセスに対して適切な応答を返すための模倣設定を用いて、模倣環境(仮想装置)の構成を設定(変更)してもよい。
【0113】
なお、上記説明した本実施形態に係る分析システム100が分析可能なプログラムは、マルウェア等の不正プログラムに限定されない。即ち、分析システム100は、模倣環境において実行される任意のプログラムを分析可能であってよい。例えば、分析システム100は、ソフトウェア・プログラムの開発過程における検証工程において用いられてもよい。この場合、分析システム100を用いることにより、開発されたプログラムを実稼働環境に導入する前に、模倣環境において実行することで、当該プログラムの動作を分析することが可能である。
【0114】
<第2の実施形態>
次に、本発明の第2の実施形態について説明する。図11は、本実施形態における分析システム1100の機能的な構成を例示するブロック図である。図11に例示するように、本実施形態における分析システム1100は、動作分析部1101と、構成部1102とを備える。動作分析部1101は、動作分析手段として機能してもよく、構成部1102は、構成手段として機能してもよい。動作分析部1101と、構成部1102との間は、任意の通信手段を用いて通信可能に接続されている。なお、図12に例示するように、分析システム1100は、単体の装置(物理的あるいは仮想的な装置)を用いて構成されてもよい。この場合、分析システム1100は、単体の分析装置として機能する。
【0115】
動作分析部1101は、分析対象のプログラムである分析対象プログラムを、当該分析対象プログラムを実行可能な第1の実行環境の少なくとも一部の構成を模倣可能な第2の実行環境において実行することにより、当該分析対象プログラムの動作を分析する。係る分析対象プログラムは、例えば、マルウェア等の不正プログラムであってもよい。なお、上記動作分析部1101は、第1の実施形態における動作分析部101と同様の構成を備えてもよい。
【0116】
構成部1102は、動作分析部1101において分析された分析対象プログラムの動作に応じて、第2の実行環境の少なくとも一部の構成を変更する。これにより、構成部1102は、上記分析対象プログラムの動作に関連する第1の実行環境における特定の構成を模倣可能な第2の実行環境を構築する。なお、上記構成部1102は、第1の実施形態における構成部102と同様の構成を備えてもよい。また、上記第1の実行環境は、例えば、第1の実施形態における実稼働環境であってもよく、上記第2の実行環境は、例えば、第1の実施形態における模倣環境であってもよい。
【0117】
上記のように構成された本実施形態において、上記分析対象プログラムは、当該分析対象プログラム自体が第1又は第2の実行環境のいずれにおいて実行されているか判定することができない。なぜならば、分析システム1100は、当該分析対象プログラムの動作に応じて第2の実行環境の構成を変更することにより、第1の実行環境の特定の構成を模倣可能な第の2実行環境を構築するからである。これにより、例えば、当該分析対象プログラムが第2の実行環境において特定の動作を実行した場合、第2の実行環境から当該分析対象プログラムに対して、第1の実行環境を模倣した実行結果が通知される。
【0118】
以上より、本実施形態における分析システム1100は、上記プログラムの動作に影響を与えることなく、当該プログラムの本来の機能を適切に分析可能である。よって、本実施形態における分析システム1100によれば、プログラムの動作に応じて適切な分析環境を構築することにより、当該プログラムの本来の動作を分析することが可能である。
【0119】
<第2の実施形態の変形例>
次に、図13を参照して、第2の実施形態の変形例について説明する。図13に例示するように、本変形例における分析システム1300は、第2の実施形態における分析システム1100に対して、表示部1301を更に備える。本変形例におけるその他の構成要素(動作分析部1101、及び、構成部1102)は、上記第2の実施形態と同様としてよい。
【0120】
表示部1301は、第2の実行環境を構成する仮想装置の構成を表示可能な表示手段である。また、表示部1301は、第2の実行環境を構成する仮想ネットワークの構成を表示してもよい。表示部1301は、例えば、動作分析部1101から上記仮想装置の構成を表す情報を取得し、係る情報をディスプレイ装置等の表示画面に出力してもよい。なお、表示部1301は、第1の実施形態における模倣構成表示部210と同様の構成を備えてもよい。
【0121】
上記のように構成された本変形例における分析システム1300によれば、例えば、分析システム1300のユーザは、分析対象プログラムの動作に応じて変更された仮想装置の構成を確認可能である。また、係る分析システム1300は、上記第2の実施形態と同様の構成を備えることから、上記第2の実施形態と同様の効果を奏する。
【0122】
<ハードウェア及びソフトウェア・プログラム(コンピュータ・プログラム)の構成>
以下、上記説明した各実施形態を実現可能なハードウェア構成について説明する。
【0123】
以下の説明においては、上記各実施形態において説明した分析システム(100、1100、1300)を、単に「分析システム」と称する。またこれら分析システムの各構成要素を、単に「分析システムの構成要素」と称する。
【0124】
上記各実施形態において説明した分析システムは、1つ又は複数の専用のハードウェア装置により構成されてもよい。その場合、上記各図(図1図11乃至図13)に示した各構成要素は、その一部又は全部を統合したハードウェア(処理ロジックを実装した集積回路あるいは記憶デバイス等)を用いて実現されてもよい。
【0125】
例えば、分析システムが専用のハードウェアにより実現される場合、係る分析システムの構成要素は、それぞれの機能を提供可能な集積回路(例えば、SoC(System on a Chip)等)を用いて実装されてもよい。この場合、分析システムの構成要素が保持するデータは、例えば、SoCとして統合されたRAM(Random Access Memory)領域やフラッシュメモリ領域、あるいは、当該SoCに接続された記憶デバイス(磁気ディスク等)に記憶されてもよい。また、この場合、分析システムの各構成要素を接続する通信回線としては、周知の通信バスを採用してもよい。また、各構成要素を接続する通信回線はバス接続に限らず、それぞれの構成要素間をピアツーピアで接続してもよい。分析システムを複数のハードウェア装置により構成する場合、それぞれのハードウェア装置の間は、任意の通信手段(有線、無線、またはそれらの組み合わせ)により通信可能に接続されていてもよい。
【0126】
また、上述した分析システム又はその構成要素は、図14に例示するような汎用のハードウェアと、係るハードウェアによって実行される各種ソフトウェア・プログラム(コンピュータ・プログラム)とによって構成されてもよい。この場合、分析システムは、任意の数の、汎用のハードウェア装置及びソフトウェア・プログラムにより構成されてもよい。
【0127】
図14における演算装置1401は、汎用のCPU(中央処理装置:Central Processing Unit)やマイクロプロセッサ等の演算処理装置である。演算装置1401は、例えば後述する不揮発性記憶装置1403に記憶された各種ソフトウェア・プログラムを記憶装置1402に読み出し、係るソフトウェア・プログラムに従って処理を実行してもよい。例えば、上記各実施形態における分析システムの構成要素(動作分析部(101、1101)あるいは構成部(102、1102)等)は、演算装置1401により実行されるソフトウェア・プログラムとして実現可能である。
【0128】
記憶装置1402は、演算装置1401から参照可能な、RAM等のメモリ装置であり、ソフトウェア・プログラムや各種データ等を記憶する。なお、記憶装置1402は、揮発性のメモリ装置であってもよい。
【0129】
不揮発性記憶装置1403は、例えば磁気ディスクドライブや、フラッシュメモリによる半導体記憶装置のような、不揮発性の記憶装置である。不揮発性記憶装置1403は、各種ソフトウェア・プログラムやデータ等を記憶可能である。
【0130】
ネットワークインタフェース1406は、通信ネットワークに接続するインタフェース装置であり、例えば有線及び無線のLAN(Local Area Network)接続用インタフェース装置や、SAN接続用インタフェース装置等を採用してもよい。
【0131】
ドライブ装置1404は、例えば、後述する記録媒体1405に対するデータの読み込みや書き込みを処理する装置である。
【0132】
記録媒体1405は、例えば光ディスク、光磁気ディスク、半導体フラッシュメモリ等、データを記録可能な任意の記録媒体である。
【0133】
入出力インタフェース1407は、外部装置との間の入出力を制御する装置である。
【0134】
上述した各実施形態を例に説明した本発明における分析システム(あるいはその構成要素)は、例えば、図14に例示するハードウェア装置に対して、上記各実施形態において説明した機能を実現可能なソフトウェア・プログラムを供給することにより、実現されてもよい。より具体的には、例えば、係る装置に対して供給したソフトウェア・プログラムを、演算装置1401が実行することによって、本発明が実現されてもよい。この場合、係るハードウェア装置で稼働しているオペレーティングシステムや、データベース管理ソフト、ネットワークソフト、仮想環境基盤等のミドルウェアなどが各処理の一部を実行してもよい。
【0135】
更に、上記ソフトウェア・プログラムは記録媒体1405に記録されてもよい。この場合、上記ソフトウェア・プログラムは、上記分析システム等の出荷段階、あるいは運用段階等において、適宜ドライブ装置1404を通じて不揮発性記憶装置1403に格納されるよう構成されてもよい。
【0136】
なお、上記の場合において、上記ハードウェアへの各種ソフトウェア・プログラムの供給方法は、出荷前の製造段階、あるいは出荷後のメンテナンス段階等において、適当な治具を利用して当該装置内にインストールする方法を採用してもよい。また、各種ソフトウェア・プログラムの供給方法は、インターネット等の通信回線を介して外部からダウンロードする方法等のように、現在では一般的な手順を採用してもよい。
【0137】
そして、このような場合において、本発明は、係るソフトウェア・プログラムを構成するコード、あるいは係るコードが記録されたところの、コンピュータ読み取り可能な記録媒体によって構成されると捉えることができる。この場合、係る記録媒体は、ハードウェア装置と独立した媒体に限らず、LANやインターネットなどにより伝送されたソフトウェア・プログラムをダウンロードして記憶又は一時記憶した記憶媒体を含む。
【0138】
また、上述した分析システムは、図14に例示するハードウェア装置を仮想化した仮想化環境と、当該仮想化環境において実行される各種ソフトウェア・プログラム(コンピュータ・プログラム)とによって構成されてもよい。この場合、図14に例示するハードウェア装置の構成要素は、当該仮想化環境における仮想デバイスとして提供される。なお、この場合も、図14に例示するハードウェア装置を物理的な装置として構成した場合と同様の構成にて、本発明を実現可能である。
【0139】
以上、本発明を、上述した模範的な実施形態に適用した例として説明した。しかしながら、本発明の技術的範囲は、上述した各実施形態に記載した範囲には限定されない。当業者には、係る実施形態に対して多様な変更又は改良を加えることが可能であることは明らかである。そのような場合、係る変更又は改良を加えた新たな実施形態も、本発明の技術的範囲に含まれ得る。更に、上述した各実施形態、あるいは、係る変更又は改良を加えた新たな実施形態を組み合わせた実施形態も、本発明の技術的範囲に含まれ得る。そしてこのことは、請求の範囲に記載した事項から明らかである。
【0140】
この出願は、2015年6月16日に出願された日本出願特願2015-120712を基礎とする優先権を主張し、その開示の全てをここに取り込む。
【符号の説明】
【0141】
100 分析システム
101 動作分析部
102 構成部
201 検体保持部
202 検体準備部
203 検体分析部
204 実行命令検知部
205 検知結果送信部
206 装置模倣部
207 模倣設定受信部
208 分析結果格納部
209 分析結果保持部
301 検知結果受信部
302 構成調整部
303 模倣設定送信部
304 構成情報保持部
1100 分析システム
1101 動作分析部
1102 構成部
1301 表示部
1401 演算装置
1402 記憶装置
1403 不揮発性記憶装置
1404 ドライブ装置
1405 記録媒体
1406 ネットワークインタフェース
1407 入出力インタフェース
図1
図2
図3
図4
図5
図6
図7
図8
図9
図10
図11
図12
図13
図14