IIJ-SECT

IIJ

日本語 ⁄ English ]

MITFについて

HOME > MITFについて

MITF (Malware Investigation Task Force) は、 2007年5月に開始したマルウェア対策のための活動です。 IIJ網に一般利用者と同様にハニーポットを設置し、 インターネット側からの攻撃やマルウェアの活動状況を観測します。 そして、攻撃の記録や検体の捕獲、 検体解析をすることで得られた情報を元に対策を行います。

MITFのフレームワーク
図1 : MITFのフレームワーク zoom

MITFハニーポット

ハニーポットとは、攻撃者の動向を把握するために用いられるシステムの一種です。 MITFではマルウェアの活動を観測し、検体を捕獲するために使用しています。 マルウェアとは、コンピュータウイルス、ワーム、ボット、スケアウェア、 クライムウェア等、悪意のあるプログラムの総称です。

MITFハニーポット
図2 : MITFハニーポット zoom

MITFでは、Windowsのファイル共有機能 (SMB)、 RPC等の動作を模倣するハニーポットを用いて、 脆弱性を悪用して攻撃しようとするマルウェアの活動を監視しています。 ハニーポットから能動的に通信を行うことはなく、 単にインターネットに接続しただけの状態であるため、 それと通信しようとする試みは、攻撃、 あるいは攻撃の前兆である探査行為等の可能性が高いと考えられます。

つまり、ユーザから意図せずハニーポットへの通信が試みられた場合、 使用している機材へのマルウェアの感染が疑われます。 このような通信を検出したときには、 感染が疑われるユーザへ連絡することがあります。

Webクローラ

Webクローラは、 ブラウザやそのプラグインの脆弱性を悪用して感染するマルウェアの観測システムです。

Webクローラ
図3 : Webクローラ zoom

この種のマルウェアは、 近年話題になったGumblarやru:8080等に見られるように、 Exploitkit等を用いて構築された悪性Webサイトを閲覧することで感染します。

このようなWebサイトには、 マルウェアによって盗み出されたアカウント情報を悪用する、 SQLインジェクション攻撃等で不正に内容を書き換える等の方法で、 元々は無害であったWebサイトが改ざんされたものも多く見受けられます。

Webクローラは、IIJ網内のユーザが持つWebページに、悪性Webサイトそのものや、 悪性Webサイトへ転送するようなものがないかを監視することを目的としています。 そのようなWebページを発見した場合は、 ユーザへの通知やサイトの一時停止等を行うことがあります。

動的解析と静的解析

これらの方法で収集した検体が、 それぞれどのような特性があるかを調べるために、 MITFでは、動的解析と静的解析を用いています。

動的解析
図4 : 動的解析 zoom

動的解析とは、解析用の環境で取得した検体を実行し、 それを観察することでマルウェアの種類や動作を把握する手法です。 この動的解析環境はインターネットからは隔離して構築してあり、 安全にマルウェアの検査を実施できます。

静的解析
図5 : 静的解析 zoom

静的解析とは、取得したマルウェアそのものを動作させずに、 ウイルス対策ソフトウェアや、 実行ファイル解析用の逆アセンブルツールやデバッガ等を利用して構造を調べ、 その挙動を解析する手法です。

動的解析環境では動作しなかった検体や、 詳細に調査したいマルウェアに対しては、 解析ツールを駆使して手作業で調査します。

これらの解析により、マルウェアが感染した機器上で行うファイル生成や削除、 レジストリ操作の内容や、 マルウェア配布を行うサーバやボットを制御する C&C サーバを特定することができます。 そして、この情報を元に注意喚起を行い、サービス運用に反映しています。

外部ブラックリスト

インターネット上には、攻撃を行ってきたIPアドレス、 SPAMメールを送信しようとしたIPアドレス、 マルウェアに感染していると思われるWebサイト等、 ユーザに害を及ぼしたIPアドレスをリスト化して公開しているサイトがあります。

このようなリストに登録されているホストは、 攻撃を行っている加害者である可能性と同時に、マルウェアへの感染、 侵入による乗っ取りの被害者である可能性も考えられます。

IIJでは、これらのリストを定期的に監視しており、 IIJ網内のIPアドレスが登録されていた場合は、 必要に応じて連絡を行い、対処を求めています。