研究の背景

IoT 機器の普及に伴い、IoT 機器に感染するウイルス（IoTウイルス）が急激に増加しています。IoTウイルスは様々な種類のCPUに対応しているため、CPU毎にウイルスを解析するツールを開発する必要があります。しかし、その開発コストが大きいため、解析ツールの開発はほとんど進んでいません。
ウイルス解析ではウイルスが利用する機能（ライブラリ関数）を追跡することで、ウイルスの振る舞いを解析できるようになりますが、IoTウイルスの場合、重要な手がかりとなるライブラリ関数がウイルス内部に隠されているため、既存の解析ツールではIoTウイルスの振る舞いを追跡できません。

研究のポイント

本研究は、様々な種類のCPUの動きを再現できるプログラムを使って、CPU毎にツールを開発しなくても、様々なCPUのIoTウイルスを横断的に解析できるツール「xltrace（エックスエルトレース）」を開発しました。xltraceの革新性は、「CPU毎に異なる仕様を自動的に解明すること」によって「CPUの種類に依存しない方法でIoTウイルスの振る舞いを追跡できるようにしたこと」にあります（図）。

xltraceの概要と性能評価

xltrace は、CPUの種類に依存しない方法でIoTウイルスの振る舞いを追跡するツールです。xltraceは「CPU毎に異なる仕様を自動的に解明する事前処理」と「ウイルスが利用する機能を追跡してウイルスの振る舞いを見える化する追跡処理」の二段階に分けられます。xltraceの革新的な処理は事前処理にあります。従来の手法ではプログラマーがCPU毎にその仕様に合わせて追跡ツールを開発していましたが、xltraceを使うと事前処理によってCPU毎にツールを開発する必要がなくなるため、IoTウイルス解析ツールの開発コストがかなり削減できることが期待されます。

実験では、12種類のCPU（AArch64、ARM、MIPS、MIPS64、PowerPC、PowerPC64、SPARC、RISC-V32、RISC-V64、SPARC64、x86、x86_64）に対して、xltraceが正しく動作することを確認しました。次に、ソースコードが公開されている12種類のIoTウイルス（Ballpit、BASHLITE、Beastmode、Extendo、FBot、Josho、Mirai、Qbot、Reaper、Shinto、Sora、Ultron）に対して、xltraceが有効であることを確認しました。
さらに、実際に流行している100種類のIoTウイルスに対しても、有効である可能性を得られました。

今後の展開

今後は、より多くのCPUに対する有効性の評価やライブラリ関数の詳しい情報（返り値など）の取得などが課題です。これらの課題を解決して実用性の高いツールを実現したいと考えています。これが実現できれば、ライブラリ関数の呼び出し履歴を分析することで、ウイルスの機能や目的を推定することができます。

≪参考文献≫

本研究は2022年10月に開催されたコンピュータセキュリティシンポジウム2022で発表した下記の論文に基づいています。本論文はCSS最優秀論文賞、MWS優秀論文賞を受賞しました。

発表題目

xltrace: クロスアーキテクチャに対応したライブラリ関数のトレース手法

著者