TOP > FAQ> デジタルフォレンジック
動的とは、サンドボックスと呼ばれる仮想環境で実際に動かし、挙動を確認する作業です。動的に確認できることは、MITRE ATT&CK(マイターアタック)にて規定されている、実際のサイバー攻撃事例に基づいた攻撃者の行動(戦術・技術)が含まれてを分類・体系化することです。
MITRE ATT&CKで分かる主なポイント:
利用端末のゲートウェイIPアドレス参照、特定のキーを押した際の挙動、特定時刻の参照など、いくつもの特定条件下で稼働するルーチンがある際は、それを仮想的に実施します。
スクリプト形式は、そのままマルウェア分析官が読むことが可能ですが、バイナリー形式のプログラムは、元の開発言語をベースにソースコードへ戻す試みが実施されます。最近では、暗号を用いた難読化が実施されるケースがあり、AIにより暗号の種類を特定し、AIにより個別処理されるサブシステムへ受け渡され難読化されたものを元のソースコードへ戻します。
悪意ある組織は、ソースコードを使いまわすため、効率的かつ大雑把にマルウェアを判別は可能です。しかし、マルウェアのコードは次々と新たに開発されるため、10年以上に渡り悪意あるソースコードを分析してきたマルウェア分析官の目によって全件を最終判断することは非常に重要だと私たちは考えています。
同業他社は、感染端末が発生した際に、その検体をセキュリティベンダーが受信し、マルウェアリサーチャーによって分析されます。マルウェアを阻止するためのシグネチャーを世界中の顧客に配信するまでの間に感染者が出続けてしまいますが、星の数のほどの実行可能ファイルがあるため、これが現実的な方法でした。
PC Matic社は、感染端末ゼロを達成する必要があるアメリカ合衆国政府主導の「ゼロトラトセキュリティモデル」を実践するため、過去にデジタルフォレンジックを実施していない実行可能ファイルを元FBIサイバー捜査官も多数在籍するマルウェア分析チームにて、静的に全件分析し、安全と確認されたファイルをグローバル・ホワイトリストへ追加しています。