| 題名 | パッチをあてられない環境における脆弱性緩和ツールを用いた脆弱性攻撃対策の検討 |
| 著者 | *小泉 亮平, 佐々木 良一 (東京電機大学) |
| ページ | pp. 1145 - 1152 |
| キーワード | 脆弱性, EMET, MBAE |
| アブストラクト | 近年,修正プログラム配布前の脆弱性を悪用したゼロデイ攻撃が深刻化している.脆弱性を放置し続けてしまうと不正アクセスやマルウェア感染の原因になるため非常に危険である.しかし,メーカーのサポートが終了したソフトウェアに対しては修正プログラムが配布されないため,脆弱性が放置され続けることになる.そこで,近年注目を集めているのがEMETやMBAEといった脆弱性緩和ツールである.これらを導入することで,一般的なウィルス対策ソフトで利用される定義ファイルやサンドボックスのような手段を利用せずに脆弱性攻撃への対策を講じることができるとされている.しかし,脆弱性攻撃を行うマルウェアの中にはEMETやMBAEによる脆弱性緩和策を回避するものが報告されている.そこで,本研究ではサポートが終了したソフトウェア環境で脆弱性緩和ツールを用いた検知実験を行うことで,両ツールの有効性と違いを明らかにすると共に,脆弱性攻撃対策の検討と考察を行う. |
| 題名 | OpenFlowを用いたマルウェア通信検知・対応手法の提案と評価 |
| 著者 | *中川 直人, 佐々木 良一, 勅使河原 可海 (東京電機大学) |
| ページ | pp. 1153 - 1159 |
| キーワード | セキュリティ, ネットワーク, OpenFlow, 標的型攻撃, マルウェア |
| アブストラクト | 近年流行している標的型攻撃は,初期侵入,基盤構築,内部侵入・調査,目的遂行の4段階に分類される.マルウェアに感染したノードは攻撃基盤構築フェーズ以降に様々な通信を行なう.本研究では,仮想ネットワーク技術であるOpenFlowを利用して,標的型攻撃におけるマルウェア通信を検知し,その組み合わせにより感染端末の特定判断を行なう手法を提案する.また,OpenFlowでネットワークを動的制御することで感染端末への対応を迅速に行ない,情報詐取の被害を早期に防ぐことを目的とする.評価実験では,開発システムを適用させたOpenFlowネットワークと入り口対策のみを施した従来のネットワークを用意し,標的型攻撃検証ツールと実検体を用いてマルウェア感染実験を行った.その結果,開発システムを適用させたOpenFlowネットワークにおいて不正通信の検知,およびマルウェア感染端末の自動隔離に成功した. |
| 題名 | マルウェアのネットワーク内の挙動を利用した動的検知方式の提案 |
| 著者 | *佐藤 信 (東京電機大学大学院), 杉本 暁彦, 林 直樹, 磯部 義明 (日立製作所), 佐々木 良一 (東京電機大学大学院) |
| ページ | pp. 1160 - 1167 |
| キーワード | セキュリティ, マルウェア, ログ分析, サイバー攻撃表記仕様, オントロジ |
| アブストラクト | 標的型攻撃はネットワーク全体の端末に影響を及ぼす.そのため,この攻撃に適切に対処するためには,端末内でおきた事象の解析だけでなく,各端末の事象情報を組み合わせて解析し判断する必要がある.そこで,本研究ではネットワーク全体の挙動から動的に攻撃を診断する方式について検討している.本論文ではサイバー攻撃表記仕様であるCybOXをネットワーク内のログを記述する統一形式とし,著者らの先行研究で開発したツールで取得したプロセスログを分析対象として検討を進めた.そして,収集したプロセスログをCybOXへ動的に変換し,それを解析することでマルウェアを検知する手法を提案する.実験により挙動パターンから特定のマルウェアを同定可能であると確認できた.また,ログの取得から変換,検知までの一連の流れが自動的に処理できること確認し提案手法の実現可能性を評価した. |
| 題名 | パッキングされたマルウェア検出のためのバイトパターンの出現頻度解析 |
| 著者 | *光吉 寛生 (法政大学大学院情報科学研究科), 廣津 登志夫 (法政大学情報科学部) |
| ページ | pp. 1168 - 1171 |
| キーワード | セキュリティ, アクセス制御, ネットワーク管理, インターネット |
| アブストラクト | マルウェアによる攻撃は,爆発的増加傾向にある.近年のマルウェアには,パッカーと呼ばれる難読化ツールにより難読化が施されている事が多く,そのままでは解析・分類はできない.解析・分類を行うためには,またパッカーに対応した復元ツールであるアンパッカーでアンパックを行う必要がある.しかし,アンパッカーが明らかになっていないパッカーも存在する.パッキングされたままでマルウェアの特定が行う事が可能となれば,ネットワークに流れるトラフィックよりパッキングされたマルウェアの検知・特定が可能になると考えられる.本論文ではパッキングされたマルウェアの分類や特定の可能性を探るため,パッキングされたマルウェアの解析を行った.具体的にはマルウェア8検体に対し3種類のパッカーを用いてパッキングを行い,パック前とバイトパターンを比較し,パッキングされていても分類が可能であるか調査を行った.結果多くの場合において,特定可能であると判明した. |