拓海先生、最近部署の若手が『難読化(obfuscation)を使うとマルウェア検出が効かなくなる』と言っておりまして、正直何が変わるのか実感がわきません。今回の論文は何を示しているのですか?
素晴らしい着眼点ですね!要点を先に言うと、この論文は『すべての静的解析(static analysis)特徴が難読化で弱くなるわけではない。組み合わせ次第で耐性ある検出器が作れる』と示しているんですよ。難しい言葉を使わずに、結論ファーストで説明しますよ。
つまり要するに、難読化をかければ全部防げるわけではなくて、『効く特徴』と『効かない特徴』がある、ということですか?現場に入れるならどれを信じれば良いのですか。
いい質問です。まずは用語の整理をしますね。静的解析(static analysis)=実行せずにアプリの中身を読み取る手法で、API呼び出しや文字列(Strings)を特徴として使います。論文はこの静的特徴群が難読化によってどう影響を受けるかを調べ、使える特徴を組み合わせれば現場でも十分に実用的だと示しているんですよ。
投資対効果(ROI)の観点で聞きます。難読化されたアプリが増えた場合、既存の静的解析ベースの仕組みに追加投資して耐性を高めるべきですか。それとも動的解析(dynamic analysis)など別の手法へ移すべきですか。
素晴らしい着眼点ですね!要点を3つで整理します。1つ目、静的解析の中でも永続性(persistence)の高い特徴は必ずしも強いわけではない。2つ目、難読化に対して不変性(insensitivity)が高く、かつ非難読化時に精度が高い特徴を組み合わせればコスト効率が良い。3つ目、動的解析は補完的だがコストが高いので、まずは静的の有力特徴群を強化するのが現実的です。
それは現場でやるなら『まずは特徴の選定を見直す』ということですね。技術的には難しいことをやるように聞こえますが、運用側でできることはありますか。
大丈夫、一緒にやれば必ずできますよ。実務的には三段階で進められますよ。第一に、現行の検出ルールで多く使っている特徴を可視化すること。第二に、論文で示されたように難読化ツール別に特徴の変化を試験的に検証すること。第三に、耐性の高い特徴を優先して学習させた機械学習モデルに切り替えることです。
これって要するに、難読化という『相手の工夫』に対して『こちらもどの特徴が壊れにくいかを見極めて使う』という戦略で、完璧さを追うよりも費用対効果を考えるということですか?
その通りですよ。素晴らしいまとめです。加えて論文は実験で、『API呼び出しの特定部分』や『文字列(Strings)』が高い情報量を持つと示しつつ、難読化での変化の度合いを測っているため、現場での優先順位付けに役立つデータを与えてくれます。
実際に試すとしたら、まずどの指標を見れば良いですか。誤検知(false positive)や検出率(detection rate)という言葉は聞いたことがありますが、どれが大事でしょうか。
素晴らしい着眼点ですね!現場で見るべき主要指標は三つです。検出率(どれだけマルウェアを見つけられるか)、誤検知率(業務に支障を与えないか)、そして難読化後の検出率低下幅(耐性)です。これらをバランスさせることで投資対効果が見えてきますよ。
分かりました。要は『検出率を重視しつつ、難読化後も大きく落ちない特徴を優先する』という方針で進めれば良いのですね。自分の言葉でまとめると、今回の論文は『難読化があっても使える静的特徴は存在し、それらを組み合わせれば実務的に有効な検出器が作れる』ということだと理解しました。
