WO2021245837A1

WO2021245837A1 - バックドア検査装置、バックドア検査方法、及びコンピュータ可読媒体

Info

Publication number: WO2021245837A1
Application number: PCT/JP2020/021920
Authority: WO
Inventors: 貴之佐々木; 有佑嶋田
Original assignee: 日本電気株式会社
Priority date: 2020-06-03
Filing date: 2020-06-03
Publication date: 2021-12-09
Also published as: JP2024051105A; US20230229766A1; JP7448005B2; JPWO2021245837A1

Abstract

バックドア検査装置（１０）にて特定部（１１）は、対象ソフトウェアに含まれる複数のコードブロックを特定する。検査部（１２）は、特定部（１１）にて特定された各コードブロックに対して、バックドアについての検査処理を実行する。調整処理部（１３）は、対象ソフトウェアに対して、難読化処理を含む調整処理を実行する。証明書生成部（１４）は、検査処理の結果情報を少なくとも含む第１証明書を生成する。出力部（１５）は、調整処理が施された対象ソフトウェアを第１証明書と共に出力する。

Description

バックドア検査装置、バックドア検査方法、及びコンピュータ可読媒体

　本開示は、バックドア検査装置、バックドア検査方法、及びコンピュータ可読媒体に関する。

　インフラや企業システムは、複雑化している。このため、インフラや企業システムは、単一の企業のデバイスだけで構成されるのではなく、様々な企業のデバイスを外部から調達しそれらを組み合わせて、構築されている。

　しかしながら、近年、これらのデバイスにおいてソフトウェア（ファームウェア）およびハードウェアの両面で、ユーザが認知していない隠された機能又はユーザが予期していない機能が発見される、インシデントが多数報告されている。すなわち、「バックドア」に関連する多数のインシデントが報告されている。「バックドア」とは、例えば、複数の機能を含むソフトウェアに対して該ソフトウェアの一部として組み込まれた、ユーザに知らされていない且つ望まれていない機能として定義できる。

　特定の種類のバックドアを検知する方法が、例えば、非特許文献１に開示されている。

F. Schuster and T. Holz, "Towards reducing the attack surface of software backdoors," In Proceedings of the 2013 ACM SIGSAC conference on Computer & communications security (CCS), 2013.

　本発明者らは、例えばソフトウェアがインストールされた機器の機器メーカが、そのソフトウェアにバックドアが含まれていないことを証明したいというニーズ、及び、機器にインストールされているソフトウェアを知財保護の観点から難読化したいというニーズがある、ことを見出した。すなわち、本発明者は、ソフトウェアの信頼性の証明及びソフトウェアの難読化の両方を実現するニーズがあることを見出した。なお、難読化処理は、例えば、ソフトウェアを暗号化する処理、又は、ソフトウェアに対してダミーコードを埋め込む処理等を含む。

　本開示の目的は、ソフトウェアの信頼性の証明及びソフトウェアの難読化の両方を実現できる、バックドア検査装置、バックドア検査方法、及びコンピュータ可読媒体を提供することにある。

　第１の態様にかかるバックドア検査装置は、検査対象であるソフトウェアに含まれる複数のコードブロックを特定する特定手段と、
　特定された各コードブロックに対して、バックドアについての検査処理を実行する検査手段と、
　前記ソフトウェアに対して難読化処理を含む調整処理を実行する処理手段と、
　前記検査処理の結果情報を少なくとも含む第１証明書を生成する証明書生成手段と、
　前記調整処理が施されたソフトウェアを前記第１証明書と共に出力する出力手段と、
　を具備する。

　第２の態様にかかるバックドア検査方法は、検査対象であるソフトウェアに含まれる複数のコードブロックを特定すること、
　特定された各コードブロックに対して、バックドアについての検査処理を実行すること、
　前記ソフトウェアに対して難読化処理を含む調整処理を実行すること、
　前記検査処理の結果情報を少なくとも含む第１証明書を生成すること、及び、
　前記調整処理が施されたソフトウェアを前記第１証明書と共に出力すること、
　を含む。

　第３の態様にかかる非一時的なコンピュータ可読媒体は、検査対象であるソフトウェアに含まれる複数のコードブロックを特定すること、
　特定された各コードブロックに対して、バックドアについての検査処理を実行すること、
　前記ソフトウェアに対して難読化処理を含む調整処理を実行すること、
　前記検査処理の結果情報を少なくとも含む第１証明書を生成すること、及び、
　前記調整処理が施されたソフトウェアを前記第１証明書と共に出力すること、
　を含む処理を、バックドア検査装置に実行させるプログラムが格納している。

　本開示により、ソフトウェアの信頼性の証明及びソフトウェアの難読化の両方を実現できる、バックドア検査装置、バックドア検査方法、及びコンピュータ可読媒体を提供することができる。

第１実施形態におけるバックドア検査装置の一例を示すブロック図である。第２実施形態におけるバックドア検査装置の一例を示すブロック図である。第２実施形態におけるバックドア検査装置の処理動作の一例を示すフローチャートである。第３実施形態における特定部の一例を示すブロック図である。コントロールフローグラフの説明に供する図である。バックドア検査装置のハードウェア構成例を示す図である。

　以下、図面を参照しつつ、実施形態について説明する。なお、実施形態において、同一又は同等の要素には、同一の符号を付し、重複する説明は省略される。

＜第１実施形態＞
　図１は、第１実施形態におけるバックドア検査装置の一例を示すブロック図である。図１に示すバックドア検査装置１０は、例えば、認証機関に配設されて用いられる。そして、バックドア検査装置１０は、例えば機器メーカから送信されたソフトウェアを受け取る。このソフトウェアは、検査対象であり、以下では、単に「対象ソフトウェア」と呼ぶことがある。対象ソフトウェアは、コンパイル前のソースコードであってもよいし、コンパイル後のバイナリコードであってもよい。

　図１においてバックドア検査装置１０は、特定部１１と、検査部１２と、調整処理部１３と、証明書生成部１４と、出力部１５とを有している。

　特定部１１は、対象ソフトウェアに含まれる複数の「コードブロック」を特定する。「コードブロック」は、例えば、対象ソフトウェアに含まれる機能に対応する機能ブロックであってもよいし、機能ブロックよりも小さい単位のベーシックブロックであってもよい。

　検査部１２は、特定部１１にて特定された各コードブロックに対して、バックドアについての検査処理を実行する。ここで、難読化処理後の対象ソフトウェアについて検査処理を実行することは技術的に難しい。しかしながら、検査部１２は「難読化処理」が施される前の対象ソフトウェアに対して検査処理を実行するので、検査処理を確実に実行することができる。

　調整処理部１３は、対象ソフトウェアに対して、「難読化処理」を含む「調整処理」を実行する。「難読化処理」は、上記の通り、対象ソフトウェアを暗号化する処理、又は、対象ソフトウェアに対してダミーコードを埋め込む処理を含む。なお、調整処理部１３は、検査処理にて対象ソフトウェアにバックドアであるコードブロックが存在しないという検査結果が得られた場合、調整処理を実行し、検査処理にて対象ソフトウェアにバックドアであるコードブロックが存在するという検査結果が得られた場合、調整処理を実行してもよい。

　証明書生成部１４は、検査処理の結果情報を少なくとも含む証明書（以下では、「第１証明書」と呼ぶことがある）を生成する。検査処理の結果情報は、例えば、対象ソフトウェアにバックドアであるコードブロックが存在するか否かを示す情報を含む。

　出力部１５は、調整処理が施された対象ソフトウェアを第１証明書と共に出力する。これにより、調整処理が施されたソフトウェア及び第１証明書が一緒に例えば機器メーカに送信されることになる。

　以上で説明したバックドア検査装置１０の構成により、ソフトウェアの信頼性の証明及びソフトウェアの難読化の両方を実現することができる。因みに、対象ソフトウェアについての証明書を受け取った後に機器メーカが対象ソフトウェアの難読化処理を行う場合、証明書が意味のないものになってしまう。これに対して、バックドア検査装置１０は、ソフトウェアの信頼性の証明及びソフトウェアの難読化の両方を実現できるので、このような問題は生じない。

　なお、バックドア検査装置１０は、バックドア検査方法を実行している。このバックドア検査方法は、検査対象であるソフトウェアに含まれる複数のコードブロックを特定すること、特定された各コードブロックに対して、バックドアについての検査処理を実行すること、ソフトウェアに対して難読化処理を含む調整処理を実行すること、検査処理の結果情報を少なくとも含む第１証明書を生成すること、及び、調整処理が施されたソフトウェアを第１証明書と共に出力すること、を含む。

＜第２実施形態＞
　第２実施形態は、より具体的な実施形態に関する。

　＜バックドア検査装置の構成例＞
　図２は、第２実施形態におけるバックドア検査装置の一例を示すブロック図である。図２においてバックドア検査装置２０は、特定部１１と、検査部１２と、調整処理部１３と、出力部１５と、ハッシュ値算出部２１と、証明書生成部２２とを有している。

　ハッシュ値算出部２１は、調整処理部１３にて調整処理が施された対象ソフトウェアのハッシュ値を算出する。

　証明書生成部２２は、検査処理の結果情報及びハッシュ値算出部２１にて算出されたハッシュ値を含む第１証明書を生成する。例えば、証明書生成部２２は、検査部１２による検査処理が完了した段階で、検査処理の結果情報を含む証明書（以下では、「第２証明書」と呼ぶことがある）を生成する。そして、証明書生成部２２は、ハッシュ値算出部２１にてハッシュ値が算出された段階で、第２証明書にハッシュ値を追記することによって第１証明書を生成する。すなわち、第２実施形態における第１証明書には、検査結果と、該検査結果と調整処理後の対象ソフトウェアとを紐づける情報としてのハッシュ値とが含められている。

　＜バックドア検査装置の動作例＞
　以上の構成を有するバックドア検査装置２０の処理動作の一例について説明する。図３は、第２実施形態におけるバックドア検査装置の処理動作の一例を示すフローチャートである。図３に示す処理フローは、例えば、バックドア検査装置２０が対象ソフトウェアを受け取るとスタートする。

　バックドア検査装置２０にて特定部１１は、対象ソフトウェアに含まれる複数のコードブロックを特定する（ステップＳ１０１）。

　検査部１２は、特定された各コードブロックに対して、バックドアについての検査処理を実行する（ステップＳ１０２）。

　証明書生成部２２は、検査結果を含む第２証明書を生成する（ステップＳ１０３）。

　調整処理部１３は、対象ソフトウェアに対して調整処理を実行する（ステップＳ１０４）。

　ハッシュ値算出部２１は、調整処理後の対象ソフトウェアのハッシュ値を算出する（ステップＳ１０５）。

　証明書生成部２２は、第２証明書にハッシュ値を追記することによって第１証明書を生成する（ステップＳ１０６）。

　出力部１５は、調整処理後の対象ソフトウェアを第１証明書と共に出力する（ステップＳ１０７）。

　以上で説明した第２実施形態によれば、バックドア検査装置２０ハッシュ値算出部２１は、調整処理部１３にて調整処理が施された対象ソフトウェアのハッシュ値を算出する。証明書生成部２２は、検査処理の結果情報及びハッシュ値算出部２１にて算出されたハッシュ値を含む第１証明書を生成する。

　このバックドア検査装置２０の構成により、検査処理の結果情報及び該結果情報と調整処理後の対象ソフトウェアとを紐づけるハッシュ値の両方を含む第１証明書を生成することができるので、検査処理の結果情報の信頼性（つまり、第１証明書の信頼性）を高めることができる。

　＜変形例＞
　＜１＞なお、調整処理は、難読化処理と共に、又は、難読化処理に代えて、コード書き換えによる「セキュリティ機能の追加処理」を含んでいてもよい。例えば、調整処理部１３は、「セキュリティ機能の追加処理」として、定期的に自身のメモリをスキャンして改ざんの有無を確認する「関数」を対象ソフトウェアに埋め込んでもよい。具体的には、調整処理部１３は、改ざんの有無を確認する関数の実行コードを対象ソフトウェアに追加して、追加した実行コードが呼び出されるように対象ソフトウェアを書き換えてもよい。

　また、調整処理は、難読化処理と共に、又は、難読化処理に代えて、対象ソフトウェアに含まれる「デバッグ情報の削除処理」を含んでいてもよい。デバッグ情報は、例えば、実行ファイルに含まれている関数名、変数名、ソースコードの行との対応付けの情報などである。例えば、対象ソフトウェアがLinux（登録商標）の場合には、調整処理部１３は、stripコマンドを用いてこれらを削除してもよい。

　＜２＞また、証明書生成部２２は、バックドア検査装置２０が配設されている検査機関の署名を、第１証明書に含めてもよい。また、証明書生成部２２は、バックドア検査装置２０の署名を、第１証明書に含めてもよい。また、証明書生成部２２は、調整処理が施される前の対象ソフトウェアのハッシュ値又は名称を、第１証明書に含めてもよい。また、証明書生成部２２は、バックドア検査装置２０のバージョン、バックドア検査装置２０を使用して解析を行った解析者のＩＤ、解析者の署名、解析者の所属組織、又は、解析者の氏名等を、第１証明書に含めてもよい。また、証明書生成部２２は、検査処理の結果情報として、バックドアであるコードブロックの対象ソフトウェアにおける位置に関する情報を、第１証明書に含めてもよい。

＜第３実施形態＞
　第３実施形態は、特定部の構成例に関する。図４は、第３実施形態における特定部の一例を示すブロック図である。図４において特定部１１は、特定処理部１１Ａと、構造解析部１１Ｂとを含む。

　特定処理部１１Ａは、対象ソフトウェアにおいて、「予め定められた所定機能」に対応する「所定コードブロック」を特定する。「予め定められた所定機能」は、例えば、「インタフェース機能」、「認証機能（認証ルーチン）」、及び「コマンドパーサ機能（パーサルーチン）」等である。すなわち、「予め定められた所定機能」は、それの後に種々の機能が続く機能である。つまり、「予め定められた所定機能」は、対象ソフトウェアについてのコントロールフローグラフにおいて起点となるコードブロックに対応する。

　特定処理部１１Ａは、例えば、複数の所定機能と各所定機能に対応する所定コードブロックの特徴とを対応付けた「特定ルールテーブル（「第１特定テーブル」）」を用いて、所定コードブロックを特定してもよい。この場合、特定処理部１１Ａは、特定ルールテーブルに保持されている各所定コードブロックの特徴にマッチする、対象ソフトウェアの部分を、所定コードブロックとして特定する。また、特定処理部１１Ａは、テーブルの代わりに、所定機能を特定するための１つもしくは複数のアルゴリズムやモジュールを実行し、所定コードブロックを特定してもよい。

　構造解析部１１Ｂは、特定処理部１１Ａにて特定された所定コードブロックを起点としてコントロールフローを辿ることによって、対象ソフトウェアの構造を解析すると共に、所定機能以外の機能に対応するコードブロックを特定する。例えば、構造解析部１１Ｂは、特定処理部１１Ａによって特定された認証機能のコードブロックを起点としてコントロールフローを辿ることによって、図５に示すようなコントロールフローグラフを作成する。そして、構造解析部１１Ｂは、「特定ルールテーブル（「第２特定テーブル」）」を用いて、所定機能以外の機能に対応するコードブロックを特定する。「第２特定テーブル」は、起点となるコードブロックの種別と、該種別に応じて特定すべき特定対象コードブロックの特徴とを対応付けている。例えば、「第２特定テーブル」において、起点となるコードブロックである「認証機能のコードブロック」に対しては、「特定対象コードブロックの特徴」として、「コントロールフローグラフにおいて認証ルーチンを通った後に存在するコードブロック」が対応付けられている。また、例えば、「第２特定テーブル」において、起点となるコードブロックである「コマンドパーサ機能のコードブロック」に対しては、「特定対象コードブロックの特徴」として、「パーサによってディスパッチされるコマンド又は関数を含む機能ブロック」が対応付けられている。なお、図３に示すコントロールフローグラフにおいて、「認証機能のコードブロック」及び「（図５にて丸で示されている）特定対象コードブロック」は、それぞれ「ノード」と呼ぶこともできる。また、図５に示すコントロールフローグラフにおいて、矢印は、コントロールフローに対応する。

　そして、例えば、検査部１２は、構造解析部１１Ｂによって作成されたコントロールフローグラフにおいて、認証コードブロックを通らずに、構造解析部１１Ｂにて特定されたコードブロック（つまり、認証が必要な実行部分）に至る「パス（不正パス）」を検出する。

　また、検査部１２は、構造解析部１１Ｂによって作成されたコントロールフローグラフにおいて、仕様書に記載が無いコマンド（又は関数）を含むコードブロックを検出する。

　＜他の実施形態＞
　図６は、バックドア検査装置のハードウェア構成例を示す図である。図６においてバックドア検査装置１００は、プロセッサ１０１と、メモリ１０２とを有している。プロセッサ１０１は、例えば、マイクロプロセッサ、MPU（Micro Processing Unit）、又はCPU（Central Processing Unit）であってもよい。プロセッサ１０１は、複数のプロセッサを含んでもよい。メモリ１０２は、揮発性メモリ及び不揮発性メモリの組み合わせによって構成される。メモリ１０２は、プロセッサ１０１から離れて配置されたストレージを含んでもよい。この場合、プロセッサ１０１は、図示されていないI/Oインタフェースを介してメモリ１０２にアクセスしてもよい。

　第１実施形態及び第２実施形態のバックドア検査装置１０，２０は、それぞれ、図６に示したハードウェア構成を有することができる。第１実施形態及び第２実施形態のバックドア検査装置１０，２０の、特定部１１と、検査部１２と、調整処理部１３と、証明書生成部１４，２２と、出力部１５と、ハッシュ値算出部２１とは、プロセッサ１０１がメモリ１０２に記憶されたプログラムを読み込んで実行することにより実現されてもよい。プログラムは、様々なタイプの非一時的なコンピュータ可読媒体（non-transitory computer readable medium）を用いて格納され、バックドア検査装置１０，２０に供給することができる。非一時的なコンピュータ可読媒体の例は、磁気記録媒体（例えばフレキシブルディスク、磁気テープ、ハードディスクドライブ）、光磁気記録媒体（例えば光磁気ディスク）を含む。さらに、非一時的なコンピュータ可読媒体の例は、ＣＤ－ＲＯＭ（Read Only Memory）、ＣＤ－Ｒ、ＣＤ－Ｒ／Ｗを含む。さらに、非一時的なコンピュータ可読媒体の例は、半導体メモリを含む。半導体メモリは、例えば、マスクＲＯＭ、ＰＲＯＭ（Programmable ROM）、ＥＰＲＯＭ（Erasable PROM）、フラッシュＲＯＭ、ＲＡＭ（Random Access Memory）を含む。また、プログラムは、様々なタイプの一時的なコンピュータ可読媒体（transitory computer readable medium）によってバックドア検査装置１０，２０に供給されてもよい。一時的なコンピュータ可読媒体の例は、電気信号、光信号、及び電磁波を含む。一時的なコンピュータ可読媒体は、電線及び光ファイバ等の有線通信路、又は無線通信路を介して、プログラムをバックドア検査装置１０，２０に供給できる。

　以上、実施の形態を参照して本願発明を説明したが、本願発明は上記によって限定されるものではない。本願発明の構成や詳細には、発明のスコープ内で当業者が理解し得る様々な変更をすることができる。

　１０　バックドア検査装置
　１１　特定部
　１１Ａ　特定処理部
　１１Ｂ　構造解析部
　１２　検査部
　１３　調整処理部
　１４　証明書生成部
　１５　出力部
　２０　バックドア検査装置
　２１　ハッシュ値算出部
　２２　証明書生成部

Claims

　検査対象であるソフトウェアに含まれる複数のコードブロックを特定する特定手段と、
　特定された各コードブロックに対して、バックドアについての検査処理を実行する検査手段と、
　前記ソフトウェアに対して難読化処理を含む調整処理を実行する処理手段と、
　前記検査処理の結果情報を少なくとも含む第１証明書を生成する証明書生成手段と、
　前記調整処理が施されたソフトウェアを前記第１証明書と共に出力する出力手段と、
　を具備するバックドア検査装置。
　前記調整処理が施された前記ソフトウェアのハッシュ値を算出する算出手段をさらに具備し、
　前記証明書生成手段は、前記結果情報及び前記算出されたハッシュ値を含む前記第１証明書を生成する、
　請求項１記載のバックドア検査装置。
　前記証明書生成手段は、前記検査処理が完了した段階で、前記結果情報を含む第２証明書を生成し、前記ハッシュ値が算出された段階で、前記第２証明書に前記ハッシュ値を追記することによって前記第１証明書を生成する、
　請求項２記載のバックドア検査装置。
　前記調整処理は、コード書き換えによるセキュリティ機能の追加処理を含む、
　請求項１から３のいずれか１項に記載のバックドア検査装置。
　前記調整処理は、前記ソフトウェアに含まれるデバッグ情報の削除処理を含む、
　請求項１から４のいずれか１項に記載のバックドア検査装置。
　前記処理手段は、前記検査処理にて前記ソフトウェアにバックドアであるコードブロックが存在しないという検査結果が得られた場合、前記調整処理を実行し、前記検査処理にて前記ソフトウェアにバックドアであるコードブロックが存在するという検査結果が得られた場合、前記調整処理を実行しない、
　請求項１記載のバックドア検査装置。
　検査対象であるソフトウェアに含まれる複数のコードブロックを特定すること、
　特定された各コードブロックに対して、バックドアについての検査処理を実行すること、
　前記ソフトウェアに対して難読化処理を含む調整処理を実行すること、
　前記検査処理の結果情報を少なくとも含む第１証明書を生成すること、及び、
　前記調整処理が施されたソフトウェアを前記第１証明書と共に出力すること、
　を含むバックドア検査方法。
　検査対象であるソフトウェアに含まれる複数のコードブロックを特定すること、
　特定された各コードブロックに対して、バックドアについての検査処理を実行すること、
　前記ソフトウェアに対して難読化処理を含む調整処理を実行すること、
　前記検査処理の結果情報を少なくとも含む第１証明書を生成すること、及び、
　前記調整処理が施されたソフトウェアを前記第１証明書と共に出力すること、
　を含む処理を、バックドア検査装置に実行させるプログラムが格納された非一時的なコンピュータ可読媒体。