【ブックレビュー】マルウェアの教科書
昨年発売された「マルウェアの教科書」年末年始の課題図書として読みました。 近年病院や行政をターゲットに騒がれている『ランサムウェア』やロシアーウクライナ戦争で行われている相手コンピュータの”破壊”を目的とした『ワイパー』など現代はマルウェア(広義のコンピュータウィルス)が蔓延しているのは周知のとおり。僕らの知らないところで世界各国の情報機関がマルウェアを作り、忍び込ませていたことは先日紹介した「サイバー戦争」にて紹介されていました。この本はそんな「マルウェアの時代」(いやな時代ですね)において「敵を知る」ことの手助けとなる、マルウェアの種類、手口、対策などをプロが解説しています。
一応セキュリティを担当しているので、第1章の概要や第2章のマルウェアの種類については知っていました。しかしこの本は警察関係者とも連携しているプロのマルウェア解析技術者が書いているということもあり、マルウェアの実装方法も詳しく書いています。マルウェアがどのようにアンチウィルスソフトをかいくぐっているかの具体的なテクニックには、敵もコンピュータのことを熟知していることが分かり唸らされました。”OSの言語設定を調べ、ロシア語だったら動作しない”という挙動は、「サイバー戦争」でプーチンのブラックハットハッカー集団への命令と合致しており、さもありなんという感じです。 本に紹介されているMicrosoft Sysinternalsというツールをインストールし、このパソコンで永続的に動作するプログラムを調べてみました。大半は自分の把握していたモノでしたが、Lenovoのアプリケーションが稼働しているのは知りませんでした。公式の説明によるとHDDの不審な挙動や電力を監視するためのツールということですが、ネット界隈ではマルウェアだ、という記載も。むむむ・・・。
ランサムウェアがどのような画面を表示させるか、どのように具体的に脅迫してくるかは意外とネットでは画面付きで紹介されていないため、筆者のように安全な環境でランサムウェアを起動させ、そのスクリーンショットを掲載してくれるのは新鮮さがあります。また、マルウェア解析技術技法の基礎についての記述は、「デバッガーでプログラムを走らせるときには問題ない挙動をするプログラム」という実際のマルウェアの挙動がどのように実装されるのかを追体験でき、それをパスする方法も記されているのでホワイトハットハッカーを目指す人にとっては大いに参考になると思います。真にスキルあるエンジニアはレイヤーが低い・物理に近い層についての知識を持つのだな、と。ソフトウェアエンジニアならばアセンブリ言語であり、インフラエンジニアならばデータリンク層や物理層の知識ですね。
この本を読んで思ったのは、ホワイトハットハッカーもブラックハットハッカーも持っている技術は同レベルなのだろう、と。あちらの対策にこちらが対策を立て、それに対してさらに対策を立て…が繰り返されているのだろうと。この本に書かれているマルウェアを作る/見抜くテクニック業界では初歩の初歩で、さらに高度な攻防が繰り返されているのでしょう。アンチウィルスソフトメーカーの技術者や公的機関に所属するエンジニア、ホワイトハットハッカーの皆さんはサイバー空間における警察官そのもの。その活動には頭が下がります。
特に興味深かったのは「敵を知る」の章。ランサムウェアは現在RaaS(ランサムウェア・アズ・ア・サービス)と呼ばれ、サービス化していることは知られていますが、ランサムウェア開発組織内に広報・人事・教育のような担当部署が存在し、上司が部下のモチベーションを伸ばすためのマニュアルが存在するなど企業のようであることです。ブラックハットハッカーも当たり前ですが人間であり、政治信条を持ち、労働環境や収入に不満を持つのは僕たちと同じです。セキュリティリスクの最も弱い部分、突かれる部分は”人間”ですがそれは攻撃者側に対しても同じと思われます。