トレンドマイクロは11月5日、同社のIoTマルウェア分類用ハッシュ関数「Trend Micro ELF Hash（telfhash）」が、マルウェアや不正サイトの検査サービス「VirusTotal」に採用されたと発表した。

　「VirusTotal」で検査され、ハッシュ値計算が可能な全ての検索済みのELFファイル（再検索分を含む）の検索結果に、telfhashで計算されたハッシュ値が付与されることになった。これにより、「VirusTotal」の利用者は、既知のIoTマルウェアとの迅速な比較や分類が可能になる。

現在、ワーム型IoTマルウェア「Mirai」など、IoT環境への攻撃を狙うマルウェアが引き続き脅威となっている。背景には、元のマルウェアをカスタマイズして作り出された「亜種」の存在があり、効率的にこれらが既知のマルウェアに類似するものかどうか判別するには、IoTマルウェア向けに開発されたハッシュ関数による識別が効果的であると同社は結論付けた。「telfhash」を用いて過去の既知のIoTマルウェアとの類似性を分析することで、未知のIoTマルウェアを優先的に調査したい場合など、脅威解析者による解析効率の向上および、マルウェア機能や外部通信のブロックなどのセキュリティ機能に解析結果の迅速な反映が可能となり、迅速に未知のIoTマルウェアの脅威情報をユーザやパートナーに提供することが可能となる。

また、IoT環境を保有するユーザとしては、現在受けているサイバー攻撃の特徴の一端をつかんだり、取るべき対処策を検討することができ、IoTマルウェアに対する効率的なセキュリティ運用実務の実現が期待できる。

なお、ハッシュ関数を用いたマルウェア識別方法については、同社は『あるマルウェアの検体を調査する場合、一般的には既知のマルウェアかどうかを効率的に判別するため、ハッシュ関数による計算が用いられ、データベース上の既知マルウェアとの照合が行われる。著名かつ伝統的なハッシュ関数に、「MD5」や「SHA1」があるが、これらは入力データが1ビットでも異なると、全く異なるハッシュ値となり、既知マルウェアをカスタマイズした類似のマルウェアを識別したい場合に課題があった。現在、Windows向けのマルウェアの「類似性識別」には、「ssdeep」、「impfuzzy」などのハッシュ関数が用いられることも多くある』と説明している。

(川原 龍人/びぎねっと)

[関連リンク]
プレスリリース