Research for fundamental software of evidence preservation for virtualization environment and control system

• Project/Area Number: 16H02829
• Research Category: Grant-in-Aid for Scientific Research (B)
• Allocation Type: Single-year Grants
• Section: 一般
• Research Field: Information security
• Research Institution: Okayama University
• Principal Investigator: Yamauchi Toshihiro 岡山大学, 自然科学研究科, 准教授 (80359942)
• Co-Investigator(Kenkyū-buntansha): 谷口 秀夫 岡山大学, 自然科学研究科, 教授 (70253507) ; 森山 英明 有明工業高等専門学校, 創造工学科, 講師 (00633009) ; 佐藤 将也 岡山大学, 自然科学研究科, 助教 (30752414)
• Project Period (FY): 2016-04-01 – 2019-03-31
• Project Status: Completed (Fiscal Year 2018)
• Budget Amount: ¥14,430,000 (Direct Cost: ¥11,100,000、Indirect Cost: ¥3,330,000); Fiscal Year 2018: ¥4,290,000 (Direct Cost: ¥3,300,000、Indirect Cost: ¥990,000); Fiscal Year 2017: ¥4,290,000 (Direct Cost: ¥3,300,000、Indirect Cost: ¥990,000); Fiscal Year 2016: ¥5,850,000 (Direct Cost: ¥4,500,000、Indirect Cost: ¥1,350,000)
• Keywords: 情報セキュリティ / デジタルフォレンジックス / マルウェア対策 / OS / 仮想化技術 / デジタルフォレンジック / デジタルフォレンジクス / ディジタルフォレンジクス

Outline of Final Research Achievements

In a virtual machine environment where multiple guest OSs can run, we designed a guest OS identification method and overhead reduction method for simultaneously tracing the diffusion of classified information in each guest OS.In addition, in order to analyze malware that leaves no trace information in the file system, we proposed a basic method to preserve data in memory with low overhead.

Academic Significance and Societal Importance of the Research Achievements

仮想化環境での仮想マシン利用が普及しており，仮想マシン内の機密情報の拡散や利用状況の把握は重要である．本研究では，同じ仮想マシンモニタ上で動作する複数の仮想マシン内の機密情報を同時に追跡する基本方式を実現した．また，悪意のあるソフトウェアであるマルウェアが高度化し，ファイルシステムに痕跡を残さず，メモリ上にだけ存在するマルウェアが問題となっている．このようなマルウェアを解析する基本方式を提案した．

Research Products

• [Journal Article] 可用性を考慮したプロセスの複製によるライブフォレンジック手法 (2019)
  • Author(s): 山内 利宏，時松 勇介，谷口 秀夫
  • Journal Title: 情報処理学会論文誌 Volume: 60,2 Pages: 696-705
  • NAID: 170000150145
  • Peer Reviewed
• [Journal Article] Design and Implementation of Hiding Method for File Manipulation of Essential Services by System Call Proxy using Virtual Machine Monitor (2019)
  • Author(s): Masaya Sato, Hideo Taniguchi, Toshihiro Yamauchi
  • Journal Title: International Journal of Space-Based and Situated Computing Volume: 印刷中
  • NAID: 120006847072
  • Peer Reviewed
• [Journal Article] Hiding Communication of Essential Services by System Call Proxy (2018)
  • Author(s): Yuuki Okuda, Masaya Sato, Hideo Taniguchi
  • Journal Title: Proceesings of the Sixth International Symposium on Computing and Networking (CANDAR'18) Volume: なし Pages: 47-56
  • DOI: 10.1109/candar.2018.00014
  • Peer Reviewed
• [Journal Article] Hiding File Manipulation of Essential Services by System Call Proxy (2018)
  • Author(s): Sato Masaya、Taniguchi Hideo、Yamauchi Toshihiro
  • Journal Title: Lecture Notes on Data Engineering and Communications Technologies Volume: Vol. 22 Pages: 853-863
  • DOI: 10.1007/978-3-319-98530-5_76
  • ISBN: 9783319985299, 9783319985305
  • Peer Reviewed
• [Journal Article] Mitigating Use-After-Free Attacks Using Memory-Reuse-Prohibited Library (2017)
  • Author(s): YAMAUCHI Toshihiro、IKEGAMI Yuta、BAN Yuya
  • Journal Title: IEICE Transactions on Information and Systems Volume: E100.D Issue: 10 Pages: 2295-2306
  • DOI: 10.1587/transinf.2016INP0020
  • NAID: 130006110257
  • ISSN: 0916-8532, 1745-1361
  • Peer Reviewed / Open Access
• [Journal Article] Performance Improvement and Evaluation of Function for Tracing Diffusion of Classified Information on KVM (2017)
  • Author(s): Hideaki Moriyama, Toshihiro Yamauchi, Masaya Sato, Hideo Taniguchi
  • Journal Title: Proceedings of 2017 5th International Symposium on Computing and Networking (CANDAR 2017) Volume: - Pages: 463-468
  • DOI: 10.1109/candar.2017.91
  • Peer Reviewed
• [Journal Article] Memory Access Monitoring and Disguising of Process Information to Avoid Attacks to Essential Services (2016)
  • Author(s): Masaya Sato, Toshihiro Yamauchi, Hideo Taniguchi
  • Journal Title: Proceedings of 2016 Fourth International Symposium on Computing and Networking Volume: - Pages: 635-641
  • NAID: 120007141455
  • Peer Reviewed / Acknowledgement Compliant
• [Journal Article] HeapRevolver: Delaying and Randomizing Timing of Release of Freed Memory Area to Prevent Use-After-Free Attacks (2016)
  • Author(s): Toshihiro Yamauchi, Yuta Ikegami
  • Journal Title: Lecture Notes in Computer Science (LNCS) Volume: 9955 Pages: 219-234
  • DOI: 10.1007/978-3-319-46298-1_15
  • ISBN: 9783319462974, 9783319462981
  • Peer Reviewed / Acknowledgement Compliant
• [Presentation] KVM上のゲストOSにおける権限の変更に着目した権限昇格攻撃防止手法の実現 (2019)
  • Author(s): 福本 淳文, 山内 利宏
  • Organizer: 第178回 マルチメディア通信と分散処理・第84回コンピュータセキュリティ合同研究発表会
• [Presentation] 機密情報の拡散追跡機能におけるタイムリーな管理対象把握法 (2019)
  • Author(s): 森山英明，山内利宏，佐藤将也，谷口秀夫
  • Organizer: 情報処理学会第81回全国大会
• [Presentation] KVMにおける機密情報の拡散追跡機能を用いた複数VM監視手法の評価 (2019)
  • Author(s): 岡崎俊樹，森山英明，山内利宏，佐藤将也，谷口秀夫
  • Organizer: 情報処理学会第81回全国大会
• [Presentation] KVMにおける機密情報の拡散追跡機能を支援する可視化機構の検討 (2019)
  • Author(s): 本田 匠，森山英明，山内利宏
  • Organizer: 情報処理学会第81回全国大会
• [Presentation] KVMを利用した機密情報の拡散追跡機能におけるファイルパス取得処理削減の評価 (2019)
  • Author(s): 荒木 涼，森山英明，山内利宏
  • Organizer: 情報処理学会第81回全国大会
• [Presentation] VMMを用いて重要サービスの通信操作を不可視化する通信処理制御法 (2018)
  • Author(s): 奥田勇喜，佐藤将也，谷口秀夫
  • Organizer: 第143回システムソフトウェアとオペレーティング・システム研究発表会
• [Presentation] “KVMを利用した機密情報の拡散追跡機能におけるファイルアクセス性能の評価 (2018)
  • Author(s): 森山英明，山内利宏，佐藤将也，谷口秀夫
  • Organizer: 第17回情報科学技術フォーラム（FIT2018）
• [Presentation] 仮想計算機を用いた重要ファイル保護手法の評価 (2018)
  • Author(s): 佐藤将也，谷口秀夫，山内利宏
  • Organizer: 第17回情報科学技術フォーラム（FIT2018）
• [Presentation] KVMを利用した機密情報の拡散追跡機能における高速化の評価 (2018)
  • Author(s): 森山英明, 山内利宏, 佐藤将也, 谷口秀夫
  • Organizer: 情報処理学会第80回全国大会
• [Presentation] プロセス管理表へのアクセス制御機能の評価 (2017)
  • Author(s): 佐藤 将也, 山内 利宏, 谷口 秀夫
  • Organizer: 第78回コンピュータセキュリティ・第24回セキュリティ心理学とトラスト合同研究発表会
• [Presentation] KVMにおける機密情報の拡散追跡機能の高速化 (2017)
  • Author(s): 森山英明, 山内利宏, 佐藤将也, 谷口秀夫
  • Organizer: 第16回情報科学技術フォーラム(FIT2017)
• [Presentation] プロセスの複製による可用性を考慮したライブフォレンジック手法のマルチコア対応と評価 (2017)
  • Author(s): 時松 勇介, 山内 利宏, 谷口 秀夫
  • Organizer: コンピュータセキュリティシンポジウム 2017 (CSS2017)
• [Presentation] KVM上の複数VMの動作に対応した機密情報の拡散追跡機能 (2017)
  • Author(s): 岡崎 俊樹, 森山 英明, 山内 利宏, 佐藤 将也, 谷口 秀夫
  • Organizer: コンピュータセキュリティシンポジウム 2017 (CSS2017)
• [Presentation] 仮想計算機を用いた重要ファイル保護手法 (2017)
  • Author(s): 佐藤 将也, 山内 利宏, 谷口 秀夫
  • Organizer: コンピュータセキュリティシンポジウム 2017 (CSS2017)
• [Presentation] KVMにおける機密情報の拡散追跡機能における性能改善策 (2017)
  • Author(s): 森山 英明，山内 利宏，佐藤 将也，谷口 秀夫
  • Organizer: 情報処理学会第79回全国大会
  • Place of Presentation: 名古屋大学東山キャンパス
• [Presentation] 制御システムの可用性を考慮したプロセスの複製によるライブフォレンジック手法の提案 (2016)
  • Author(s): 時松 勇介，山内 利宏
  • Organizer: コンピュータセキュリティシンポジウム 2016（CSS2016）
  • Place of Presentation: 秋田キャッスルホテル
• [Presentation] システムコール処理による権限の変化に着目した権限昇格攻撃の防止手法 (2016)
  • Author(s): 赤尾 洋平，山内 利宏
  • Organizer: コンピュータセキュリティシンポジウム 2016（CSS2016）
  • Place of Presentation: 秋田キャッスルホテル
• [Presentation] 攻撃回避のためのファイル不可視化手法の提案 (2016)
  • Author(s): 佐藤 将也，山内利宏，谷口秀夫
  • Organizer: コンピュータセキュリティシンポジウム 2016（CSS2016）
  • Place of Presentation: 秋田キャッスルホテル