FFR Blog

みなさま大変ご無沙汰しております。
やわらカテゴリー担当の藤田明菜です。

前回の記事からどのくらい経って・・・という話は皆様の優しい心で無かったことにしてください(+_+)ｵﾖﾖｰ

とはいえ、お会いする業界の先輩方、パートナーさんだけではなく、お客様にもご覧頂いている事は喜ばしくもあり、辛くもあり。

「やたらBLOG更新しない、やわらカテゴリーの人」と呼ばれないように気合い入れます！

さて、先日（5/12～14）の情報セキュリティEXPOにてブースにお立ち寄り頂きました皆様、本当にありがとうございましたこの場を借りて御礼申し上げます。

出展いただきましたAITの皆様にも重ねて感謝いたしますm(_ _)m

想定を超えたご来場でブースにお入り頂けなかったり、お待ちいただいたにも関わらずご説明差し上げられなかった方、大変申し訳ありませんでした・・・

もし製品やサービスにご興味をお持ち頂いていらっしゃいましたら、弊社および各販売店様の窓口迄ご連絡いただけましたらご説明にあがりますので、是非ご検討ください。

http://www.fourteenforty.jp/contact/index.htm

EXPOは盛況のうちに終了しましたが、「FFR yarai　脆弱性攻撃防御機能」の発売日まで現在ラストスパートで、スーパーサ●ヤ人状態です（歳がばれる～）

FFRは完全国産の技術研究をしているベンチャー企業ですので、皆様のご意見が製品・サービス向上にとても貴重な情報となります。

RC（Release Candidate）版をご試用頂きました際には、是非ご意見・ご要望をご教示下さいますようお願いいたします

奥天もBLOGでご紹介していますが、「FFR yarai　脆弱性攻撃防御機能」は３つのEditionをご提供する予定です。

http://blog.fourteenforty.jp/blog/2010/05/3editionexpo-9c.html

企業で導入頂くCorp.Edition、SOC（セキュリティオペレーションセンター）にてEndpointのセンサーとして活用頂くためのSOCEdition、そしてOEMEditionです。

それぞれお客様・パートナー様とお話させて頂いておりますが、機能の洗い出しや運用検討含め、最善の形でご提供できるよう一同努めますので、何卒よろしくお願いいたします！

久々の更新が日記のようになってしまいましたが・・・

次回はやわらカテゴリーの本領？発揮？出来るように頑張りますっ

セキュリティ技術カテゴリ担当の村上です。今回は、少し前に話題になったKHOBE（Kernel HOoking Bypassing Engine）と呼ばれるセキュリティ機能回避の問題について説明します。

今月5日、matousec.comによってKHOBEと呼ばれる技術を利用することで多くのセキュリティソフトが備えるセキュリティ機能が回避可能であることが報告されました。こうしたセキュリティソフトの多くは、APIフックを行うことでOSが提供している正規の処理をインターセプトし、独自のセキュリティ機能を実装した代替処理を実行します。例えば、統合セキュリティソフトやデスクトップIPSの場合、マルウェアによって自身のプロセスが強制終了させられないようにプロセスを停止させるAPI、サービスを停止させるAPI、ドライバをアンロードするAPI等をフックしているケースがあります。他にもファイル、レジストリ、プロセス等へのアクセス制御を実現するためにこうしたリソースにアクセスするAPIをフックし、定義されたポリシーとの比較検証ロジックを実装しているケースも存在します。KHOBEは、セキュリティ機能をバイパスする技術です。

この問題は、APIフックの代替関数における引数の取扱いに起因します。例えば、OSが提供しているファイルを開くAPIをフックするケースを考えてみましょう。ここでは当該APIを便宜上、OpenFileと呼びます。APIフックを行うプログラムは、このOpenFile APIを、独自のセキュリティ機能を実装したCustomOpenFile関数でフックします。以下にAPIフックを行うプログラムの疑似コードを示します。


---

some_func(...)
{
　　// OpenFile APIをCustomOpenFile関数でフックし、
　　// OpenFile APIのアドレスをOrigOpenFileに保存する

　　OrigOpenFile = ApiHook(OpenFile, CustomOpenFile);
　　...
}

CustomOpenFile(char *filename, ...)
{
　　// ファイルオープンの妥当性を引数に含まれる
　　// filenameに基づいて比較検証する

　　if (filename && check_policy(filename)) {
　　　　return ACCESS_DENIED;
　　}

　　// ※1

　　// 保存しておいたアドレスを利用して、元のOpenFile APIを呼び出す
　　return OrigOpenFile(filename, ...);
}

---

一見するとなんの問題もないように見えますが、CustomOpenFile関数にはレースコンディションの脆弱性が存在します。これは、より具体的には、TOCTOU(time-of-check, time-of-use)問題と呼ばれており、攻撃者は、※1のfilenameチェック後のタイミングでfilenameを変更することで、チェックを回避してOrigOpenFile APIを呼び出すことができます。
攻撃を行うプログラムは、例えばマルチスレッドで動作し、スレッドAがOpenFileを繰り返し呼び出し、スレッドBがスレッドA中で呼び出されたOpenFile APIの引数であるfilenameを絶えず変更します。スレッドBのfilenameの変更がちょうど※1のタイミングで行われれば、チェックを回避することが可能です。

ご想像の通り一回でこの攻撃を成功させることは確率的に考えて非常に難しく、数千回、数万回試行してやっと一回成功する、という性質の問題です。攻撃の成功確率はプロセッサ環境（シングル・マルチプロセッサ）、値のチェックと利用の間に行われる処理の有無・量、タスクスケジューラーの実装等によって変動します。とは言っても、一回でも成功すればそれで十分というケースもあるため軽視することはできません。対策としては、チェック時の値が実際に利用されることを保証する必要があります。そのため、下記のような修正が有効です。


---
CustomOpenFile(char *filename, ...)
{
　　char *copy_filename = NULL;
　　int ret;

　　if (!filename)
　　　　return OrigOpenFile(NULL, ...);

　　// filenameのコピーを作成する
　　// ※このstrdupは必ず成功する

　　copy_filename = strdup(filename);

　　// 作成したコピーを利用してチェックを行う

　　if (check_policy(copy_filename)) {
　　　　// 関数を抜ける前にコピーを解放する
　　　　free(copy_filename);
　　　　return ACCESS_DENIED;
　　}

　　// 作成したコピーを利用する

　　ret = OrigOpenFile(copy_filename, ...);

　　// 関数を抜ける前にコピーを解放する

　　free(filename);

　　reutrn ret;
}
---

matousec.comの報告では、実際に多くのセキュリティ製品がこうした問題を含んでおりセキュリティ機能を回避することが可能とのことです。興味のある方は、一次情報もチェックするお勧めします。余談ですが、一次情報では、SSDTフックを例に問題の説明がされていますが、この問題自体はSSDTフックに限らずフック全般に関連した実装の脆弱性だと言えます。

KHOBE – 8.0 earthquake for Windows desktop security software

FFRの奥天陽司でございます。

本日で、EXPOも二日目が終わり、足が棒になっておりますが、とても充実した二日間でした

初日はお客様が来場されるか不安でいっぱいでしたが、開場するなり真っ先に訪問して頂いた方が何名もいらっしゃって、RC版の入手を希望されたのには、パートナーのAITの皆さんも、もちろん弊社のスタッフも大喜びでした！皆さんの熱意に本当に感謝です。

来場された皆様は、今までの対策にスパイスを効かせたいと思っている方が多いようで、弊社の製品に対して非常に興味を持っていただいたようです。エンドユーザー様もそうですが、新しい商材探しをしているSIerの皆さんも、ソリューションのくみ上げに熱心に意見して頂きました。。。ありがたいことです。

いくつか写真がありますので、紹介しますね！

こちら、今回のブースの模様です。
私の後姿も見えてますが、やわらカテゴリーの藤田明菜も見えてます。
会場ではお客様にモテモテでした。
赤い壁のブースって結構少ないので、目立ってよかったです。

弊社社長の鵜飼です。 NHKさんに取材していただきました。

常にブースは人人人な状況で、休みがとれないほど。。。
弊社の製品は、しっかり話し合わないと価値が分かりにくいので、
一人の対応で20分は話し込んでしまいます。。。
でも、おかげさまで大盛況なんです。

最後に、弊社製品を出展頂きましたAITの皆様に、感謝感謝でございます。

最終日はたくさんの人がいらっしゃると思いますので、最後まで気を引き締めて頑張ってまいります～！

FFRの奥天陽司でございます。
製品発表の興奮冷めやらぬなか、投稿の連投をしてしまいます～

さて、昨日発表した『FFR yarai 脆弱性攻撃防御機能』ですが、メディアの皆様に取り上げていただき、良い反響をいただいております！

http://internet.watch.impress.co.jp/docs/news/20100510_366077.html
http://enterprise.watch.impress.co.jp/docs/news/20100510_366082.html
http://www.atmarkit.co.jp/news/201005/10/yaraizdp.html
http://www.asahi.com/digital/bcnnews/BCN201005100010.html
http://www.security-next.com/012536.html
http://headlines.yahoo.co.jp/hl?a=20100510-00000000-zdn_ait-sci
http://news.livedoor.com/article/detail/4760746/
http://headlines.yahoo.co.jp/hl?a=20100511-00000004-vgb-secu
https://www.netsecurity.ne.jp/3_15315.html

本製品がこれまでの企業向けの弊社向け製品と異なる点として、今回は3つのEditionを投入することにあります。

• Corporate Edition
  企業ユーザーが各エンドポイントクライアント環境にセットアップし、稼働させる製品です。通常のウイルス対策製品と同様に、管理コンソールでの検出結果の確認や、アップデートなどを行うことが可能です。
• Security Operation Center Edition
  セキュリティ運用監視サービスを提供されている企業から、攻撃監視・防御用のセンサーとして監視対象の企業へ展開される製品です。各セキュリティ運用監視サービスに合わせて、攻撃検知時の通知方法をカスタマイズし、効率よく攻撃の状況をモニタリング（可視化）可能にするソリューションです。
• OEM Edition
  クライアント管理ソフトウェアや機器管理ユーティリティなどへの組み込む事でシステム全体を保護させることが可能です。また、自社ソフトウェア自身の脆弱性攻撃対策として利用する事も可能です。

特記したいのは、SoC Editionです。

これまで、セキュリティ監視サービスでは、IDSやProxy上のゲートウェイ型のソリューションを監視して異変を検知していましたが、今回の製品は、まんま End Point detection を実現することにあります。

各クライアントで発生している脆弱性攻撃を、適宜監視企業側で把握をして最短時間で対策に結び付けるためのトリガーを引く能力を提供します。

弊社では、今後セキュリティを進歩させるには、製品を単に導入するだけではなく、それを支援する運用監視業務が必要と考えています。今回の製品は、監視業務そのものの在り方まで変化させるインパクトがあるのではないか、と思っています。

また、OEM Edition については・・・次回にでも取り上げてみたいと思っています

さて、いよいよ情報セキュリティEXPOの開催が近づいてきました。今回のEXPOでは、弊社の頼もしいパートナー企業である株式会社AIT様が、yarai色に染めたブースで "FFR yarai 脆弱性攻撃防御機能" の発表を祝ってくれます。

株式会社AITブース
東京ビッグサイト 西展示棟 西2ホール 西4－56
http://www.reedexpo.co.jp/DDESI/jp/html/floor.phtml

今回は、できたてほやほやの本製品のRC版が入っているメディアを、先着300名に差し上げたいと思っています。

12日の初日は、朝10時～午後4時まで弊社の鵜飼もブースで皆様をお待ちしておりますので、要望、文句、技術談話などなんでも結構です。ぜひ AITブースへお立ち寄りください。

また奥天も3日間ブースにおりますし、やわらカテゴリー担当の藤田明菜も居ります。

皆様と意見交換などできるとうれしいので、ぜひお越しください！

FFR の奥天陽司でございます。

ここ2週間ほど、今日のために生きてきたといっても過言ではなく、ただいま素晴らしく充実した気持ちでいます。

本日新製品の発表をいたしました！その名も『FFR yarai 脆弱性攻撃防御機能』です

http://www.fourteenforty.jp/products/yaraizdp/

Windows 2000に、CPU の補助が無くても DEP 相当の機能を提供する同名の製品を展開していますが、こちらは、現在広く使われているWindows XP以降に向けた製品になります。

以前からある、FFR yarai 搭載されている "ゼロデイ保護" 機能をなぜ今回単体製品としてリリースしたのか？には深ーい理由があります。

FFR yarai のウイルス検知機能は、非常に高性能です。パターン検出をしなくても、ウイルスの悪性の動き、もしくは造りを検知して被害を未然に防ぐことができますが、特徴的な構造をしているプログラムを例外リストに登録しなければならなかったり、FFR yarai を入れると2重で同じような機能へ投資をしなければならない、といったフィードバックがありました。

ただ、最近だと脆弱性への攻撃が当たり前になり、今後もゼロデイを含む脆弱性への攻撃が激化すると考えた時、既存のウイルス対策ソフトが実装していない機能が欲しいという要望が寄せられていたことも事実です。

そこで、脆弱性への攻撃だけを防ぐ機能を提供するため、本製品が登場することになりました。パターン検知型のウイルス対策ソフトと、この製品を併用することで、従来検知できなかった攻撃からシステムを守ることができますし、ハードウエアDEPのようにバイパス攻撃に弱くなってしまって現状は実質的に打ちてなし、ではなく、ソフトウェア的な実装を変更することで対応可能です。

ある意味エンドポイント向けセキュリティ対策の真打と言えるのではないかと思います。

この製品、企業向けの製品ではありますが、価格は従来のウイルス対策ソフトの3分の１程度に抑えています。そして、ボリュームディスカウントもありますので、かなり導入への投資は抑えられると思います。

ぜひWebページを参照いただき、内容を知っていただけるとありがたいです！

次回は、各エディションについて取り上げます～