擬似C＆Cサーバを用いたIoTマルウェア駆除手法の検討

摘要

近年，IoT機器を狙ったマルウェアが猛威を奮っている．IoT機器を狙ったマルウェアの中でも，特に活発な感染活動が確認されているmirai，bashlite，tsunami等は，いずれも感染後にC＆Cサーバから指令（コマンド）を受信することで，そのコマンドに応じた動作を行うという特徴がある．我々はこれまでに，マルウェアのプロセス終了（駆除）を目的として，C＆Cサーバの通信を模擬したプログラム（擬似C＆Cサーバ）から自滅指令（キルコマンド）を送信することで，感染した端末に直接手を加えることなく駆除する試みについて報告した．その報告において有効性を示すと共に，複数の課題が明らかになった．中でも本稿では課題の1つである擬似C＆Cサーバのシステムを構築し，さらにシステムの運用における2つの検討を行なった．1つ目はキルコマンドはマルウェア毎に異なるため，個々のマルウェアを静的解析する必要があるが，静的解析を行うには専門的な知識と多くの時間がかかる．よって，マルウェア内からキルコマンドの候補を自動で抽出する手法について検討した．2つ目はキルコマンド等を持たないマルウェアも存在するため，キルコマンドによらない駆除手法について検討した．