サイバーセキュリティソリューションのパイオニアであり、世界的リーダーであるチェック・ポイント・ソフトウェア・テクノロジーズ（Check Point Software Technologies Ltd.、NASDAQ：CHKP、以下チェック・ポイント）は、増加するDLL（ダイナミックリンクライブラリ）ファイルを悪用した攻撃に警戒を呼びかけるとともに、悪意あるDLLを検出するチェック・ポイントのAI活用ソリューション「DeepDLL」を用いた新たな保護アプローチについて、実際の事例をもとに報告しました。DeepDLLは、DLLファイルに潜むマルウェアの脅威を検出してブロックし、DLLハイジャッキングやサイドローディングなどを駆使したサイバー攻撃からシステムを保護します。

悪意あるDLLファイルの脅威が増大
サイバー犯罪者がマルウェアの拡散にDLL（ダイナミックリンクライブラリ）ファイルを利用するケースが増加しています。最近の攻撃チェーンには複雑な多段階の攻撃フローがあり、その中でDLLはすべての主要なマルウェアファミリーに共通するステップのひとつとなっています。DLLハイジャッキング、サイドローディング、反射型DLLインジェクションなどの手法によって、マルウェアは、信頼できるソフトウェアの一部として身を隠せるようになります。攻撃者は多くの場合、一見無害でありながら攻撃の連鎖を引き起こすDLLを用います。こうした回避的な脅威に対抗するため、チェック・ポイントは、DLLファイルのコンテンツとコンテキストから悪意あるパターンを検出する、新しいAIエンジンを開発しました。

DLLとは何か？攻撃者が多く用いる悪用テクニック
DLLは、Windowsオペレーティングシステムのファイルの一種であり、複数のプログラムで同時に使用されるコードおよびデータを含むファイルです。こうしたファイルは、プログラムがリソースを効率的に使用し、ソフトウェア全体のサイズの削減に役立ちます。DLLが攻撃者にとって魅力的なターゲットとなる理由は、この有用性にあります。DLLファイルの悪用は、ハッカーが身を隠しながら標的のシステムをコントロールする上で、一般的に用いる手法となっています。

攻撃者はDLLを操作し、正規のプロセスに悪意あるコードを挿入します。多く使用されるテクニックは、以下のように分類できます。

- DLLハイジャッキング：この手法は、攻撃者が悪意あるDLLに正規のDLLと同じ名称を付け、正規のDLLの保存場所より先にシステムの検索がかかる場所に、その悪意あるDLLを配置することで発生します。システムは、実行の際に悪意あるDLLを先に発見し、正規のものと見なしてロードします。
- DLLサイドローディング：前述のハイジャッキングと類似し、この手法には、悪意あるDLLをアプリケーションのパスに置くことでアプリケーションを騙し、ロードさせる手口が含まれており、多くの場合、アプリケーションによる自身のディレクトリへの信頼を悪用しています。
- DLLインジェクション：DLLを介して悪意あるコードを実行中のプロセスに挿入するという直接的なアプローチです。これにより、攻撃者は別のアプリケーションのコンテキスト内でもコードを実行できるようになります。

AIエンジンでコンテンツとコンテキストを分析し、悪意あるDLLを防ぐ
DeepDLLは、ゼロデイDLLの脅威を防止するために設計された、これまでにない新たなAIモデルです。このエンジンは何百万もの悪意あるサンプルによって訓練され、ThreatCloud AIのビッグデータを活用し、DLL特有の悪意ある機能を検出します。この新しいモデルは、現在、ThreatCloud AIおよびチェック・ポイントのすべての製品に統合されています。

DeepDLL抽出した特徴は、チェック・ポイントの研究者が特定したように、潜在的に悪意あるアクティビティを示しています。例えば、ファイルのメタデータやコンパイルされたストラクチャ（通信、暗号化、コード構造など）が挙げられます。さらに、このAIエンジンはDLLの攻撃チェーンを学習し、DLLが電子メールで届いたのか、zipファイルで届いたのか、あるいは実行可能ファイルによってドロップされたのかを学習します。これらすべての特徴は、何百万もの悪意あるサンプルで訓練されたチェック・ポイントの新しいAIモデルに送信され、AIはそのデータを分析し、悪意ある特徴のパターンを検出します。

ThreatCloud AIからの情報を活用することにより、DeepDLLの結果において、誤検知率を最小限に抑えながら99.7%の精度を実現しました。

事例：Raspberryのペイロードを含んだDLL
以下で紹介する事例は、オランダに拠点を置くチェック・ポイントのお客様のシステム上で、DeepDLLによってDLLファイルが検出されたケースです。この悪意あるDLLはお客様のマシンにダウンロードされたMSIインストーラーに含まれており、実行時にブロックされました。MSIファイルは複数の要素で構成され、関連するサンプルはその中から発見されました。そのファイルにはDLL拡張子がなかったものの、Threat Emulationの分類によりDLLと識別されました。

画像1 - MSIインストーラーのコンテンツ

次の画像から、サンプルが親であるMSIによって実行されていることが分かります。

画像 2 - 親MSI（MicrosoftのOrcaツール）から呼び出されたアクション

このDLLは、DLLであるにもかかわらずエクスポートされた関数を一切持たず、含まれるすべての文字列が高度に難読化された、非常に疑わしいものです。

画像 3 - エクスポートされた関数のリスト


画像 4 - DLL内で発見された、難読化された文字列

このペイロードのコードは、仮想エミュレーション下で実行されないことを確認し、確認できた場合にのみペイロードのアンパッキングを続行します。

画像 5 - アンパッキングのためのCall文

その後、新しいメモリ領域を確保し、現在の実行をこのアドレスにリダイレクトします。チェック・ポイントがこのセクションのダンプ（出力）に成功した結果、このファイルが悪名高いRaspberry Robinのルールに一致することが明らかになりました。
DeepDLLは、特定の悪意ある機能群を発見することによって、このサンプルがお客様の環境に到達する前に阻止できました。Check Point QuantumとHarmony製品をご利用中で、Threat Emulationが有効になっているお客様は、本レポートで取り上げた攻撃キャンペーンの脅威から保護されています。
チェック・ポイントの脅威対策について、詳しくはデモをご予約ください。また、無料のセキュリティチェックアップによるセキュリティ体制の評価もご利用いただけます。

本プレスリリースは、米国時間2024年12月31日に発表されたブログ（英語）をもとに作成しています。

チェック・ポイントについて
チェック・ポイント・ソフトウェア・テクノロジーズ（https://www.checkpoint.com/）は、AIを活用したクラウド型サイバーセキュリティプラットフォームのリーディングプロバイダーとして、世界各国の10万を超える組織に保護を提供しています。Check Point Software Technologiesは、積極的な防御予測とよりスマートで迅速な対応を可能にするInfinity Platformを通じ、サイバーセキュリティの効率性と正確性の向上のためにあらゆる場所でAIの力を活用しています。Infinity Platformの包括的なプラットフォームは、従業員を保護するCheck Point Harmony、クラウドを保護するCheck Point CloudGuard、ネットワークを保護するCheck Point Quantum、そして協働的なセキュリティオペレーションとサービスを可能にするCheck Point Infinity Core Servicesによって構成されます。Check Point Software Technologiesの全額出資日本法人、チェック・ポイント・ソフトウェア・テクノロジーズ株式会社（https://www.checkpoint.com/jp/）は、1997年10月1日設立、東京都港区に拠点を置いています。

ソーシャルメディア アカウント
・Check Point Blog: https://blog.checkpoint.com
・Check Point Research Blog: https://research.checkpoint.com/
・YouTube: https://youtube.com/user/CPGlobal
・LinkedIn: https://www.linkedin.com/company/check-point-software-technologies/
・X: https://x.com/checkpointjapan
・Facebook: https://www.facebook.com/checkpointjapan

将来予想に関する記述についての法的な注意事項
本プレスリリースには、将来予想に関する記述が含まれています。将来予想に関する記述は、一般に将来の出来事や当社の将来的な財務または業績に関連するものです。本プレスリリース内の将来予想に関する記述には、チェック・ポイントの将来の成長、業界におけるリーダーシップの拡大、株主価値の上昇、および業界をリードするサイバーセキュリティプラットフォームを世界の顧客に提供することについての当社の見通しが含まれますが、これらに限定されるものではありません。これらの事項に関する当社の予想および信念は実現しない可能性があり、将来における実際の結果や事象は、リスクや不確実性がもたらす影響によって予想と大きく異なる可能性があります。ここでのリスクには、プラットフォームの機能とソリューションの開発を継続する当社の能力、当社の既存ソリューションおよび新規ソリューションにたいする顧客の受け入れと購入、ITセキュリティ市場が発展を続けること、他製品やサービスとの競争、一般的な市場、政治、経済、経営状況、テロまたは戦争行為による影響などが含まれています。本プレスリリースに含まれる将来予想に関する記述に伴うリスクや不確実性は、2024年4月2日にアメリカ合衆国証券取引委員会に提出した年次報告書（フォーム20-F）を含む証券取引委員会への提出書類に、より詳細に記されています。本プレスリリースに含まれる将来予想に関する記述は、本プレスリリースの日付時点においてチェック・ポイントが入手可能な情報に基づくものであり、チェック・ポイントは法的に特段の義務がある場合を除き、本プレスリリース記載の将来予想に関する記述について更新する義務を負わないものとします。

本件に関する報道関係者からのお問い合わせ
チェック・ポイント広報事務局 （合同会社NEXT PR内）
Tel: 03-4405-9537　Fax: 03-6739-3934
E-mail: checkpointPR@next-pr.co.jp