マルウェア解析について -マルウェア収集編-
はじめに
この章では, マルウェアを扱う上で留意しておかなければならない法律を紹介し, マルウェアの検体(サンプル)の収集方法を紹介する.
マルウェアに関する法律
不正指令電磁的記録に関する罪
不正指令電磁的記録作成・提供罪 (刑法第168条の2第1項)正当な理由がないのに, 人の電子計算機における実行の用に供する目的で, 次に掲げる電磁的記録その他の記録を作成し, 又は提供した者は, 3年以下の懲役又は50万円以下の罰金に処する.
不正指令電磁的記録供用・同未遂罪 (刑法第168条の2第2項・第3項)
- 人が電子計算機を使用するに際してその意図に沿うべき動作をさせず, 又はその意図に反する動作をさせるべき不正な指令を与える電磁的記録
- 前号に掲げるもののほか, 同号の不正な指令を記述した電磁的記録その他の記録
正当な理由がないのに, 人の電子計算機における実行の用に供する目的で, 次に掲げる電磁的記録その他の記録を作成し, 又は提供した者は, 3年以下の懲役又は50万円以下の罰金に処する(項目は作成・提供罪の1.2.と同じ).
不正指令電磁的記録取得・保管罪 (刑法第168条の3)正当な理由がないのに, 前条第1項の目的(人の電子計算機における実行の用に供する目的)で, 同項各号に掲げる電磁的記録その他の記録を取得し, 又は保管した者は, 2年以下の懲役又は30万円以下の罰金に処する.
引用元:いわゆるコンピュータ・ウィルスに関する罪について 法務省
いくつか補足事項を述べる.
“正当な理由”に該当するもの
- ウィルス対策ソフトの開発・試験等を行う場合
- ウィルスを発見した人がウィルスを研究機関等に提供する場合
“人の電子計算機における実行の用に供する”とは
- プログラムがウィルスであることを知らない人のコンピュータ上に, そのプログラムが実行できる状態に置くこと. 実行できる状態については, アイコンのダブルクリック等の行為が必要であるか否かは問わない
“意図に沿うべき動作をさせず”に該当しないもの
- プログラムのバグは, ウィルスに当たらない
- 例えば, ハードディスク内のファイルを全消去するプログラムが, その機能を適切に説明したうえで公開されており, 使用者の意図に沿って動作する場合は処罰対象とはならない
“同号の不正な指令を記述した電磁的記録その他の記録”とは
- ウィルスのソースコードのこと
マルウェアの検体の収集方法
注意:検体を収集する場合は, その危険性を把握し, 自己責任で行ってください
Webサイトからのダウンロード
検体を公開しているサイトには以下のようなサイトがある.
- HYBRID ANALYSIS (https://www.hybrid-analysis.com/?lang=ja)
- kaggle - Microsoft Malware Classification Challenge (BIG 2015) (https://www.kaggle.com/c/malware-classification)
ハニーポットを運用する
ハニーポットとは, 脆弱性を装うことで攻撃を誘い込み, 侵入方法の解析やマルウェアの収集を実現するものである.
ハニーポットの構築方法について(後日編集)
Dockerでハニーポットを運用しよう(後日編集)
セキュリティ系のイベントに参加する
セキュリティ系のイベント等に参加することで検体を入手するという手法もある. 検体を配布しているイベントは, 以下のものが挙げられる. ただし, 検体を扱うにあたり契約が必要な場合がある.
- マルウェア対策研究人材育成ワークショップ MWS
- SecHack365