2020年9月8日
YARAルール:ブラックスワンを予測する
人類がこのような年を過ごすのは実に久しぶりだ。さまざまな姿形の「ブラックスワン」をこれほど集中して目撃した年は、今までになかったと思う。私が言うのは羽毛に覆われた生き物のことではない。ナシム・ニコラス・タレブ(Nassim Nicholas Taleb)氏が2007年に出版された自著『ブラック・スワン:不確実性とリスクの本質』の中で示した理論にある、広範囲にわたる影響を伴う予期できぬ出来事について話している。この理論の主な教義の一つは、こうだ。「すでに発生した驚くべき出来事は、後から考えれば、明白で予測可能なものに見える。しかし、実際に起きる前には誰も予測していなかった」
例を挙げる。例の不気味なウイルスは、3月以来、世界を封鎖している。「コロナウイルス科」系統のウイルスは実に多数(何十種類も)あり、定期的に新種が見つかっていることが判明した。猫、犬、鳥、コウモリが感染する。ヒトが感染する。一部のものは、よくある風邪の原因となる。その他は…違う兆候を示す。そこで我々は、もっと致命的なウイルス(天然痘、ポリオなど)の場合と同じように、ワクチンを開発しなければならない。だが、ワクチン接種が大いに功を奏するとはかぎらない。インフルエンザを見よーー決定的な予防接種がないまま、何世紀が経過しただろうか?それに、ワクチン開発を開始するには、自分の求めるものを知らねばならないし、これは科学というよりも人文学に近いものに見える。
なぜこのような話をしているのか?一体何と関連が…まあ、いつものようにサイバーセキュリティか異国への旅の話に行き着くわけだが、今回は前者だ。
現存する最も危険なサイバー脅威の一つは、ゼロデイ脆弱性だ。レアで、(サイバーセキュリティ関係者その他に)知られていない、本気でヤバくて大規模な恐ろしい事態と損害をもたらしかねない、ソフトウェアに内在する脆弱性だ。それでいて、実際に悪用される瞬間(またはその少し後)までその存在は気付かれない傾向にある。
しかし、サイバーセキュリティのエキスパートたちは、この不明瞭さに対処しブラックスワンを予測する方法を持っている。この記事では、そういった手段の一つであるYARAについて触れたい。
簡単に言うと、YARAはマルウェアの調査および検知を助ける存在だ。一定の条件を満たすファイルを特定し、テキストやバイナリのパターンに基づいてマルウェアファミリーを絞り込む、ルールベースのアプローチだ。目指すところは、パターンを特定することで似たようなマルウェアを探し出し、「この悪意あるプログラムは、似たような目的を持つ同じ人々によって作られたものらしい」と言えるようにすることにある。
OK、では別のメタファーに移ろう。ブラックスワンと同様に水関連のメタファー、海だ。
あなたのネットワークが、何千種もの魚が泳ぐ大海であるとしよう。あなたは漁業界の人間で、海上の船から巨大な網を投じて魚を捕らえている。しかし、あなたが欲しいのは特定の種類の魚(すなわち、特定のハッカー集団によって作られたマルウェア)だけだ。さて、この網は特殊な作りになっている。網には特別な一角があり、特定の種類の魚(特定の性質を持つマルウェア)しかその部分に入らないようになっているのだ。
漁が終わるころには大量の魚が捕れている。比較的新しいものもあれば、これまで見たことのない、ほとんど知らない魚(新種マルウェアの検体)もある。しかし、これらが例の一角に入っていたなら、「X(ハッカーグループ名)らしい」「Y(ハッカーグループ名)に見える」と言うことができる。
この魚/漁業のメタファーを裏付ける事例がある。2015年、我らがYARAマスターでありGReATのリーダーであるコスティン・ライウが、サイバー空間のシャーロック・ホームズと化してMicrosoft Silverlightのエクスプロイトを見つけ出した。詳しくはぜひ記事を確認していただきたいが、かいつまんで説明すると、彼がやったことというのは、ハッカーがリークしたメールのやりとりを子細に調査し、ほとんど何もないところからYARAルールを構築することだった。これが例のエクスプロイトの発見につながり、メガ級のトラブルから世界を守った。(メールはHacking Teamというイタリア企業からリークしたものだったーーハッカーがハッカーをハッキングしたのだった)
では、YARAルールについてだ。
我々は何年にもわたり、YARAルール作成技法のトレーニングを行ってきた。YARAが解明を助けるサイバー脅威は、かなり複雑なものだ。そのため、講座は対面で(つまりオフラインで)、しかも限られた人数のトップレベルのサイバーセキュリティリサーチャーに限定されていた。当然ながら3月以降は、オフラインでのトレーニングが難しくなった。しかし、教育の必要性は変わらない。実際、当社開催の講座に対する興味が薄れる様子はなかった。
それも当然だ。サイバー空間の悪者たちは、これまで以上に高度な攻撃を考え出し続けている。ロックダウン期間中は、特にそうだった。したがって、YARAに関する我々の専門的ノウハウをロックダウン中に他に伝えないでいるのは、明らかに誤りだ。したがって、我々は(1)トレーニング形式をオフラインからオンラインに移し、(2)誰でも参加できるようにした。無料ではないが、このレベル(非常に高い)の講座にしてはマーケットレベルの競争力がある価格だ。
少しばかり補足させていただく。
新型ウイルスに世界が悩まされている状況を受け、我々はこの春、最前線の皆様方への支援を実施した。医療機関向けの無償ライセンス提供だ。そしてこのたびは、サイバー空間をより良き場とするための取り組みを進めるNPOおよびNGO(該当する組織についてはこちらを参照)への支援を開始する。該当する団体の方々は、当社主催のYARAトレーニングを無料で受講いただける(※訳注:英語での受講となります)。
なぜか?NGOやNPOは機密情報を取り扱っており、こうした情報は標的型攻撃によって狙われかねないが、IT専門の部門を持つ余裕のない組織も往々にして存在するためだ。
この講座の内訳は、ざっとこのとおりだ。
- 100%オンラインで進行し、自分のペースで受講が可能。一気にまとめて受講することも、1か月かけてゆっくり進めることもできる。
- 理論の講義と実践的な課題を織り交ぜた構成。ルールを記述して当社のマルウェア検体コレクション内を検索する、仮想実験授業もある。
- 実際にあったサイバー諜報攻撃を下敷きにした、実践的演習。
- 何かよからぬものが潜んでいるという直感があるのに、それがどこにあるのか、具体的に何であるのかが分からない場合に役立つ、「詳しく知らない何か」を探すための技法を学ぶ科目。
- 修了時には、YARA ninjaとしてのステータスを認める認定証が贈られる。過去の受講生が言うには、これが自分自身のキャリアで実に役立つのだそうだ。
さて、以上だ。非常に高度なサイバー脅威と戦うための、また一つ強力な武器が備わることになるものと思う。一方で我々の会社では、サイバー探偵の業務を今も粛々と続けている。今後、さらに新しいノウハウと実際的な知識をお伝えできることだろう。