当社が開発したIoTマルウェア分類用ハッシュ関数をVirusTotalが採用

~IoTの脅威解析・対策を幅広く支援し、セキュリティ業界全体での被害抑止に貢献~

2020年11月5日

トレンドマイクロ株式会社(本社:東京都渋谷区、代表取締役社長 兼 CEO:エバ・チェン 東証一部:4704、以下、トレンドマイクロ)は、マルウェア・不正サイト検査サービスVirusTotalが、当社が開発したIoTマルウェア分類用ハッシュ※1関数「Trend Micro ELF Hash(以下、telfhash:テルフハッシュ)」を採用したことをお知らせします。VirusTotal上で検査され、ハッシュ値計算が可能な※2全ての検索済みのELFファイル(再検索分を含む)※3の検索結果に、telfhashで計算されたハッシュ値が付与されることになりました(画面1)。これにより、VirusTotalの利用者は、既知のIoTマルウェアとの迅速な比較や分類が可能になります。
当社はtelfhashの提供を通じて、IoTの脅威解析・対策を幅広く支援し、セキュリティ業界全体で被害の拡大抑止に貢献します。
※1 ハッシュ値:あるデータを一定の法則で同じ長さに短縮した数値。データの改ざんや破損の有無、同一や類似したデータの識別に使用される。
※2 一部のパッキングされているELFファイルはハッシュ値が計算できないことがあります。
※3 Executable and Linkable Format。Linuxなどで採用されている実行形式のファイル形式。


telfhashの詳細はこちらをご覧ください。

現在、ワーム型IoTマルウェア「Mirai」をはじめとした、IoT環境への攻撃を狙うマルウェアが引き続き脅威となっており、2019年2月~2020年9月までで、少なくとも約6万件のIoTマルウェアを当社で確認しています※4。背景には、元のマルウェアをカスタマイズして作り出された「亜種」の存在があり、効率的にこれらが既知のマルウェアに類似するものかどうか判別するには、IoTマルウェア向けに開発されたハッシュ関数による識別が効果的であると当社では考えました。
※4 トレンドマイクロによる調査(2020年10月)。

telfhashは、IoT環境へのサイバー攻撃の調査活動支援を目的に、不審なELFファイルの迅速な識別・分類のため、トレンドマイクロの最先端の脅威分析・研究チーム「Trend Micro Research」が開発した、IoTマルウェア分類用ハッシュ関数です。この度、無償利用可能なマルウェア・不正サイト検査サービスVirusTotalがtelfhashを採用したことにより、幅広いセキュリティ担当者・研究者のサイバー攻撃の調査活動の支援が可能となります。

telfhashを用いて過去の既知のIoTマルウェアとの類似性を分析することで、未知のIoTマルウェアを優先的に調査したい場合など、脅威解析者による解析効率の向上および、マルウェア機能や外部通信のブロックなどのセキュリティ機能に解析結果の迅速な反映が可能となり、いち早く未知のIoTマルウェアの脅威情報をユーザやパートナーに提供することが可能です※5
また、IoT環境を保有するユーザとしては、現在受けているサイバー攻撃の特徴の一端をつかんだり、取るべき対処策を検討することができ、IoTマルウェアに対するより効果的かつ効率的なセキュリティ運用実務の実現が期待できます。
※5 すべての未知のIoTマルウェアに対応するものではありません。

<telfhashの効果についての検証>
当社が2020年10月にインターネット上から新たに収集し、telfhashによるハッシュ値が計算可能な不審なELFファイル1,801件に対して、過去に取得した既知の不正ELFファイルのハッシュ値を比較用データとして用いてその類似性を分析したところ、1,543件が既知のグループ(約85.7%)、258件が未知のグループ(約14.3%)に分類可能でした※6
※6 2019年2月23日~2020年9月30日に収集したELFファイルのうち、telfhashによるハッシュ値が取得可能かつ不正なELFファイル55,480件のハッシュ値を比較用データとし、類似する(距離50以内)ハッシュ値を持つ検体と、そうでない検体を分離する検証を当社で実施(2020年10月)。


●図:「telfhash」を使ったIoTマルウェア分類方法のイメージ

 

●画面1:VirusTotal上でのELFファイルの検索結果詳細

 

●画面2:VirusTotal上でのtelfhashによるハッシュ値の類似性検索画面

 

<ハッシュ関数を用いたマルウェア識別方法について>
あるマルウェアの検体を調査する場合、一般的には既知のマルウェアかどうかを効率的に判別するため、ハッシュ関数による計算が用いられ、データベース上の既知マルウェアとの照合が行われます。著名かつ伝統的なハッシュ関数に、「MD5」や「SHA1」がありますが、これらは入力データが1ビットでも異なると、全く異なるハッシュ値となり、既知マルウェアをカスタマイズした類似のマルウェアを識別したい場合に課題がありました。現在、Windows向けのマルウェアの「類似性識別」には、「ssdeep」、「impfuzzy」などのハッシュ関数が用いられることも多くあります。