マルウェア解析の強力な武器:ssdeepとは
- ssdeepの概要ssdeepは、セキュリティ対策を行う担当者や不正なプログラムを解析する人が活用する、ファイルの類似性を判定するツールです。 従来のハッシュ関数では、わずかな違いでも全く異なる値になってしまいますが、ssdeepは「あいまいハッシュ」と呼ばれる手法を用いることで、少しだけ異なるファイルに対しても近い値を算出できます。この「あいまいさ」がssdeepの強みです。不正なプログラムは、検出を逃れるために、プログラムの一部を少しだけ変えるという手法がよく用いられます。従来のハッシュ関数では、このようなわずかな変更を見つけることは困難でしたが、ssdeepを用いることで、変更箇所を特定しやすくなります。具体的には、ssdeepはファイルを小さな断片に分割し、それぞれの断片の特徴量を抽出します。そして、それらの特徴量を基にハッシュ値を生成します。そのため、ファイルの一部が変更されていても、他の部分の特徴量が一致すれば、類似したハッシュ値が算出されるのです。ssdeepは、不正なプログラムの亜種検出や、マルウェア解析などに活用されています。セキュリティ対策の現場において、強力なツールの一つと言えるでしょう。