| 題名 | イベントツリーとディフェンスツリーを併用したリスク分析における共通事象を考慮したリスク計算法の提案 |
| 著者 | *相原 遼, 佐々木 良一 (東京電機大学) |
| ページ | pp. 1062 - 1067 |
| キーワード | リスク分析, フォルトツリー分析, イベントツリー分析, 標的型攻撃 |
| アブストラクト | 近年,標的型攻撃による被害が増加傾向にある.標的型攻撃では,対象に応じて攻撃に工夫を加えるという特徴を持ち,この特徴のために標的型攻撃を防ぐことが難しいと言われている.一方で標的型攻撃の研究や調査が進んだことで対策の種類が増加し,それらを施すことでリスクは低下する.しかし,実際にはすべての対策を行うことはコストの面で不可能であり,リスクとコストを考慮した対策の選定が必要となる.そこで標的型攻撃に対して効果的な対策をイベントツリー分析とディフェンスツリー分析を併用したEDC手法を用いることで分析する.これにより標的型攻撃に対して最も効果的な対策を決定する.しかし,この既存のEDC手法では1つの攻撃が複数事象に影響を与える共通事象と呼ばれる問題を考慮しておらず,正しい計算結果を算出できていない.本稿では,EDC手法に対して共通事象を考慮したリスク計算法の提案を行うとともに例題でのリスク値計算を行った結果を示す. |
| 題名 | 標的型攻撃に対する知的ネットワークフォレンジックシステムLIFTの開発 −ユーザインタフェースの開発と評価− |
| 著者 | *杉原 崚介, 橋本 一紀, 比留間 裕幸 (東京電機大学), 上原 哲太郎 (立命館大学), 佐々木 良一 (東京電機大学) |
| ページ | pp. 1068 - 1074 |
| キーワード | 標的型攻撃, ユーザインタフェース |
| アブストラクト | 近年,特定の企業や組織を攻撃対象とする標的型攻撃が問題となっている.標的型攻撃とは,金銭や知的財産等の秘密情報の不正な取得を目的として特定の標的に対して行われるサイバー攻撃である.この攻撃は現状対策するのが困難である.そこで著者らは高い技術力を持たない組織でもインシデント発生時に,人工知能を用いて適切な応急対応を支援するためのLIFT(Live and Intelligent Network Forensic Technologies)システムの研究開発を行っている.本研究は,LIFTシステムの管理者が適切な対処ができるようにするための分かりやすく使いやすいユーザインタフェースの検討を行い,実際に開発を行ったものである(JAVAで約6000ステップ).適用実験とその評価により実用の見通しが得られたので報告する. |
| 題名 | 標的型攻撃に対する知的ネットワークフォレンジックシステムLIFTの開発−ベイジアンネットワークの適用− |
| 著者 | *鈴木 文仁, 佳山 こうせつ, 八槇 博史, 佐々木 良一 (東京電機大学) |
| ページ | pp. 1075 - 1080 |
| キーワード | セキュリティ, ネットワークフォレンジック, 標的型攻撃, ベイジアンネットワーク |
| アブストラクト | 近年,特定の企業や組織,個人を攻撃対象とする標的型攻撃が社会的な問題となっている.このような攻撃に対応するため,SIEM(Security Information and Event Management)システムが注目を浴びているが,運用者の能力に頼りすぎているという面があることから,高い能力を持つ管理者が複数いない一般の組織では使いこなすことが難しい.そこで当研究室では,高い技術力を持たない組織であってもインシデント発生時に応急対応を支援することを目的としたLIFT(Live and Intelligent Network Forensic Technologies)システムの開発を行っている.本論文は,LIFTシステムの機能の1つである,攻撃者が残した痕跡から現在発生している攻撃を推定する機能において,ベイジアンネットワーク用いることを提案し,既存の推定手法とベイジアンネットワークを利用した推定手法を比較する.その結果,既存手法の問題点がベイジアンネットワークを使うことで解消され,ベイジアンネットワークの有効性が示された. |
| 題名 | 標的型攻撃に対する知的ネットワークフォレンジックシステムLIFTの開発 −標的型攻撃マルウェアの解析と亜種の予測− |
| 著者 | *渋谷 健太, 久山 真宏, 佐藤 信, 三村 聡志, 松本 隆, 佐々木 良一 (東京電機大学) |
| ページ | pp. 1081 - 1086 |
| キーワード | セキュリティ, 標的型攻撃, マルウェア, 亜種, 動的解析 |
| アブストラクト | 近年,特定の組織や個人を対象とする標的型攻撃が社会問題となっている.標的型攻撃では,攻撃者が事前に対象となる組織や個人の情報を収集し,その情報を元にカスタマイズしたマルウェアが使用されており,シグネチャベースの対策だけでは攻撃を防ぐ事が困難となっている.そこで著者らはLIFT(Live and Intelligent Network Forensic Technologies)システムおよびLIFTシステムを拡張したSuper-LIFTシステムの研究開発を行っている.本研究では,Super-LIFTシステムで必要となる攻撃データの分析・ルール化の為、標的型攻撃に使用されるマルウェアの内,日本年金機構にも使用された「EMDIVI」と先行するマルウェアの亜種を収集・解析し,解析結果を機能ごとに比較することで,今後発生する亜種の機能の予測を行う.本研究の結果から各マルウェアの機能がどのように変化するのかを明らかにすることができた.また,多次元尺度法を用いた分析の結果マルウェア間で亜種の発生パターンは異なることが明らかになった. |
| 題名 | 標的型攻撃に対する知的ネットワークフォレンジックシステムLIFTの開発−模擬C&Cサーバを用いたマルウェアの挙動解析− |
| 著者 | *島川 貴裕, 久山 真宏, 佐藤 信, 名和 利男, 高倉 弘喜, 佐々木 良一 (東京電機大学) |
| ページ | pp. 1087 - 1092 |
| キーワード | セキュリティ, 標的型攻撃, マルウェア, C&Cサーバ, 動的解析 |
| アブストラクト | 近年,特定の組織や個人を攻撃対象とする標的型攻撃が社会的な問題となっている.標的型攻撃は,非常に巧妙な攻撃であり,攻撃の痕跡を発見することが難しいうえに,適切な対応が難しい現状がある.そこで,著者らは,標的型攻撃に対応するためにLIFT(Live and Intelligent Network Forensic Technologies)システムおよびSuper-LIFTシステムの開発を行っている.Super-LIFTシステムを実現するためには,日々巧妙化する攻撃に関する情報を収集する必要がある.しかし,攻撃を発見した時には,感染端末などから攻撃の痕跡の多くが消去されていることや,攻撃に利用されたC&Cサーバの停止により攻撃に関する情報を十分に収集できていない現状がある.そこで本稿では,C&Cサーバと連携するマルウェアの挙動に着目し,C&Cサーバへの模擬通信とマルウェアの動的解析の繰り返しによりC&Cサーバと連携するマルウェアの挙動の解析を行うための手法を提案する.今回の実験結果から,C&Cサーバと連携するマルウェアの挙動の一端として攻撃基盤の構築段階の挙動を確認できた.そのため,本提案手法により,標的型攻撃の一連の流れを把握し,従来マルウェアだけの挙動から推測する必要のあった標的型攻撃そのものの情報をより詳細に収集可能となると考える.さらに,LIFTシステムおよびSuper-LIFTシステムがこの機能を利用することで今後出現すると考えられる新しい攻撃にも対応可能になると考える. |