| 題名 | 攻撃者のメール送信状態推定による不審メール検知技術の提案 |
| 著者 | *西川 弘毅 (三菱電機 情報技術総合研究所/静岡大学 創造科学技術大学院), 山本 匠, 河内 清人 (三菱電機 情報技術総合研究所), 西垣 正勝 (静岡大学 創造科学技術大学院) |
| ページ | pp. 1298 - 1302 |
| キーワード | 不審メール検知, ソーシャルエンジニアリング, やり取り型攻撃 |
| アブストラクト | 企業の担当者等と複数回のやり取りを通して信頼を得て,その後に添付ファイルのクリックや指定口座への送金を行わせるような攻撃が存在する.特に,昨今では企業の決済担当者に対して,その企業の重役や,取引相手に成りすまし,攻撃者の口座へ金銭を振り込ませるビジネスメール詐欺(BEC: Business E-mail Compromise)が,重大な脅威となっている.しかし,既存の技術では,巧妙な攻撃者によるやり取りを通じた攻撃メールを検知することができない.そこで本稿では,メールを受信した際に,そのメール送信者とのやり取りを抽出し,攻撃が行われる状態が来た場合に不審なメールであると検知することで,巧妙な攻撃の検知を行う技術を提案する. |
| 題名 | AndroidアプリケーションにおけるQ&Aフォーラムのスニペット再利用の時系列分析 |
| 著者 | *今井 宏謙, 金岡 晃 (東邦大学) |
| ページ | pp. 1303 - 1311 |
| キーワード | Android |
| アブストラクト | アプリケーション開発者にとって,Q&Aフォーラムといった公開されたコミュニケーションサービスの重要性が高まっている.Q&Aフォーラムに掲載されたスニペット(ソースコードの一部分)は脆弱なコードが含まれることがあり,開発者がコピー&ペーストすることでアプリケーションに脆弱性を作ってしまっていることが研究により明らかになっている.これまでの研究ではTLSなどのセキュリティ関連コードを対象に研究が行われており,一般的な脆弱性全体については評価されていなかった.また,そういった脆弱スニペットの拡散を時系列で解析することは行われてこなかった.本論文では,コピー&ペーストの拡散を時系列分析可能な手法を提案する.提案手法の評価として527,249個のスニペットと249,987のAndroidアプリケーションを用いた実験を行った.その結果スニペットが投稿されることにより,そのスニペットをコピー&ペーストする開発者の数が増加することが示された.また,スニペットの中から脆弱なスニペットを抽出して同様の実験を行った結果,脆弱なスニペットは通常のスニペットに比べてコピー&ペーストされる割合が高いことが示された. |
| 題名 | STIXを用いた多様化する脅威情報の表現拡張に関する研究 |
| 著者 | *上本 悠貴 (九州大学大学院システム情報科学府情報知能工学専攻), 岡村 耕二 (九州大学情報基盤研究開発センター) |
| ページ | pp. 1312 - 1318 |
| キーワード | STIX, 脅威情報, 表現拡張 |
| アブストラクト | サイバー攻撃活動は現在も活発に行われている.このような脅威には,セキュリティ対策製品を扱う企業間で情報を共有し対応することが重要である.脅威情報を構造化記述する方式であるSTIX(Structured Threat Information eXpression)を用いることで,脅威情報を各企業のセキュリティ対策製品で共有し,タグを利用した機械処理が可能となる.サイバー攻撃活動は社会環境やセキュリティ対策に合わせて多様化している.それに対し,STIXは予め決まった標準化されているので,脅威情報の多様化に合わせて頻繁に更新することは困難である.そのため,STIXでは表現が困難な脅威情報の出現が懸念される.こちらについて調査した結果,STIXのタグでは表現が困難な情報を自由記述する「Description」タグに記述された文字数が,データ全体に対して相対的に多く,STIXでは細かく構造化することが困難な脅威情報の存在を多数確認した.自由記述の割合と,機械の処理能力は両立しないため,自由記述の割合が小さく機械の処理能力が向上する方式にSTIXを拡張する必要がある.拡張方式として,本研究では「Description」タグ内のデータを,JSON形式で記述する手法を提案した.提案手法により,従来のSTIXとの互換性を保持したまま,「Description」タグ内の構造化が可能となり,自由記述の割合が大幅に減少した.加えて,既存の方式ではタグを使った機械処理が困難であった「Description」タグ内のデータが,タグを利用して機械処理が容易となった.今後の課題として,既存のSTIXデータを提案拡張方式へ変換する箇所の自動化について考察する予定である. |
| 題名 | STIXを用いた攻撃手法の分類に関する研究 |
| 著者 | *北川 大喬 (九州大学システム情報科学府情報知能工学専攻), 岡村 耕二 (九州大学情報基盤研究開発センター) |
| ページ | pp. 1319 - 1326 |
| キーワード | サイバーセキュリティ, STIX |
| アブストラクト | 米国政府が推進するSTIX(Structured Threat Information eXpression)とは,セキュリティ関連企業間での脅威情報交換を目的として,脅威情報を標準化・構造化された形式で記述するフォーマットのことである.脅威情報をこの形式で記述することで情報の共有や管理,解析などを機械処理で効率よく行うことが可能になる.\\ 現在,九州大学岡村研究室ではすでに構築している解析環境で不審メールを解析し,九大の構成員に向けた注意喚起を行うことを目指している.さらに,蓄積したデータをSTIXで記述しようとしている.そこで,機械向けの脅威表現であるSTIXで記述された脅威情報から注意喚起の情報を生成できれば,既存の多くのSTIXデータを基により有益な注意喚起を行うことができると期待できる.\\ しかし現在のサイバー攻撃は,1つの脅威を元にその内容を微妙に改変して新たな脅威が次々に生成されるのに対して,STIXでは脅威情報を正確に記述する必要があり,人間にとっての同一脅威も別なデータとして記録される.これにより,STIXで表現される脅威情報の数と人間にとっての実質的な脅威の数の間には差が生まれ,類似した脅威をまとめて注意喚起を行うことを阻害する.よって,本研究では不審メールに関するSTIXデータを脅威の種類ごとに分類し同一脅威をまとめることを目的とした.本研究では,先に述べた不審メール解析環境で保有している不審メールに関する情報,IPAによる不審メールに関する情報を基に,不審メールを攻撃の種類により如何に分類できるかを調査し,分類を行った.さらに,分類したSTIXデータをもとに注意喚起情報を作成することに着目して提案手法の評価を行った. |