澤部 祐太&甘粕 伸幸&野村 和也【CODE BLUE SPEAKER インタビュー】

[Speaker interview, English follows]

Mal-gopherとは？Go系マルウェアの分類のためのgimpfuzzy実装と評価 

今回は「Mal-gopherとは？Go系マルウェアの分類のためのgimpfuzzy実装と評価」の講演を予定されている、澤部 祐太氏、甘粕 伸幸氏、野村 和也氏のインタビューをお届けします。

https://codeblue.jp/2022/talks/?content=talks_9

3名の方ともNTTセキュリティホールディングスに所属されています。講演は、Goマルウェアの新たな分類手法をテーマにしています。
Go（Golang）とはGoogleによって設計されたプログラミング言語。並列処理が得意でコードが容易に書けること、Windows、Linux、Macなどのクラスプラットフォームにも対応していることから、攻撃者にも人気の言語となっています。
講演では、近年増加傾向にあるGoマルウェアについて、gimpfuzzyという新たな手法が紹介されます。研究では多数の検体を用意し、従来の手法と精度を比較したところ、gimpfuzzyの方が2倍以上良い結果になったといいます。

―― 発表されるテーマを始めたきっかけは何ですか？

Goマルウェアが増えていることは、これまで多くのセキュリティベンダーの記事が公開されているのと同時に、私たちの業務・リサーチで日々感じていました。
一方で、Goバイナリを識別する指標の1つにgimphashというものが存在し、2022年7月には検体情報共有サイトMalwareBazaarにて利用されるようになりました。
私たちもこの指標を活用していく中で、これを改良することでより精度の高いGoマルウェアの分類ができるのではないか、と考えた所から私たちの研究はスタートしました。

―― この研究を行う上で、障害となったことは何ですか？

Goマルウェアはファイルサイズが大きく、今回取り扱ったデータセットもかなりの量がありました。検証では8000個弱の検体すべての組み合わせを扱い、そのデータ量と集計・結果の妥当性の確認に多くの時間を割きました。

―― この講演に参加しようと思っている人たちに一言お願いします。

今回発表するgimpfuzzyは、Goマルウェアのリサーチや分類に役立つものと思っております。興味がある方はぜひご参加いただけたら幸いです。

“Who is the Mal-Gopher?
 - Implementation and Evaluation of “gimpfuzzy” for Go Malware Classification”

https://codeblue.jp/2022/en/talks/?content=talks_9

―― How did you get started in the topic that you are presenting?

The increase in Go malware has been felt daily in our operations and research, as well as in the many security vendor articles that have been published.
On the other hand, one of the indicators to identify Go binaries is gimphash, which was used on MalwareBazaar, a specimen information-sharing site, in July 2022.
Our research started with the idea that this indicator could be improved to provide a more accurate classification of Go malware.

―― What were some of the obstacles in doing this research?

Go malware has a large file size, and the data set we handled this time was also quite large. The validation dealt with all combinations of just under 8,000 specimens, and a great deal of time was devoted to confirming the volume of data and the validity of the tabulations and results.

―― What would you say to the people thinking of attending this talk?

We believe that gimpfuzzy, which we will be presenting, will be helpful for Go malware research and classification. We hope to see you there if you are interested.

世界トップクラスの専門家による情報セキュリティ国際会議「CODE BLUE（コードブルー）」

インタビュイー
澤部 祐太 （Yuta Sawabe）
NTTセキュリティホールディングスのSOCアナリストで、主にログ分析やマルウェア解析に従事。以前は悪性ドメイン名の研究をしていた。2019情報処理学会JIP特選論文受賞。過去にJSAC、Botconf などで講演経験がある。
English Profile

甘粕 伸幸（Nobuyuki Amakasu）
NTTセキュリティホールディングスのSOCアナリストで、主にEDRログ分析やマルウェア解析に従事。以前SEとしてシステム構築などを担当していたが、2018年より現職。
English Profile

野村 和也（Kazuya Nomura）
NTTセキュリティホールディングスのSOCアナリスト。主な業務はIPS/IDS/EDRでのアラート監視。NTT Security Holdingsにおいてマルウェア解析とデータ可視化の記事を投稿している。MWS2020論文賞受賞、SecHack2020優秀修了生。
English Profile

インタビュワー
斉藤健一（さいとうけんいち）Kenichi Saito
元ハッカージャパン編集長。現在フリーライター。CODE BLUEをはじめ、セキュリティ業界を徘徊しています。日本ハッカー協会や企業のオウンドメディアなどでも活動。
Twitter : @hj_saito