2016 Fiscal Year Research-status Report
プログラム変換を用いたソフトウェアセキュリティの改善手法についての研究
| Project/Area Number |
16K00019
|
|---|
| Research Institution | Okayama University |
|---|
Principal Investigator |
村上 昌己 岡山大学, 情報統括センター, 教授 (60239499)
|
|---|
| Project Period (FY) |
2016-10-21 – 2019-03-31
|
| Keywords | マルウェア / C&Cサーバ / ドライブ バイ ダウンロード |
|---|
| Outline of Annual Research Achievements |
ソフトウェアセキュリティの向上手法の検討のため、現存する攻撃手法についての調査研究を実施した。マルウェアのダウンロードを誘導するための偽装手法、マルウェア感染後の通信手段などについて、技術的な知見を得た。
具体的には、申請者が先に提案したモデルよって定式化が可能なものであることが判明した。すなわち標的型攻撃に使われるマルウェアについて、組織への侵入段階においてはメールの添付ファイルへの偽装している。この際添付ファイルに含まれているのは、マルウェア本体ではなく、本体を読み込むためのダウンローダであるこような手口が多く用いられることが多いことが判明した。したがって、組織への侵入を開始したマルウェアは、マルウェアの転送が完了する前にプログラムとして能動的に作動することになる。このような通信は、従来のアトミックな高階通信ではなく、申請者が提案した高階のストリーム通信によって定式化が可能なものである。
また、組織への侵入後のマルウェアの感染拡大経路において、多くの例ではWindowsにおける psexecもしくはPowershell等の機能を用いて周辺の端末との通信を行い、これによって感染を拡大することが判明した。組織外から侵入したマルウェアが、感染の拡大によって機密情報を持つサーバへのアクセスが可能なプロセスに変化する過程は、機密情報へのアクセス権を、その情報を読み書きできるチャネルの有効範囲内へ参加によって定式化できる。このことは、チャネル名の共有状況を非循環二部グラフで表現し、その書き換えによって動作を定式化できるものであるとの見通しを得た。
|
| Current Status of Research Progress |
Current Status of Research Progress
4: Progress in research has been delayed.
Reason
採択の通知が年度後期に近い時期であったため、通知直前までは当年度の当研究課題の研究遂行を断念し他の優先度の高い業務にエフォートを多くさくよう既にスケジュール済みであった。また代表者は学内で情報セキュリティ事案対応部署の責任者を務めているが、採択時期直後から年度末にかけて緊急な事案が頻発し、また学外においても情報セキュリティ事情が悪化し、監督官庁から対応を要請される事項が増大する等の事情もあり、研究課題に対して申請時に予定したエフォートを費やすことが大変困難な儒教であったことによる。
|
| Strategy for Future Research Activity |
WannaCrypt等報道されているように昨今の情報セキュリティ事情から、今年度以降も研究課題に対して予定したエフォートを確保できる見通しは薄い。やむなく申請時の研究目標を大幅に縮小し、可能な範囲での遂行に留める予定である。予算の執行に関しても、大幅に縮小して残りは返納の予定である。
|
| Causes of Carryover |
採択決定時期が後期であったこと等より、申請時に予定していたエフォートを確保することができず、研究の遂行が予定通り進まず、予算の執行が遅れたことによる。
|
| Expenditure Plan for Carryover Budget |
本年度以降、申請時に見込まれたエフォートを確保することは困難との見通しであるため、可能な範囲での研究遂行に必要な額の執行にとどめ、残りは返納の予定である。
|
