2022 Fiscal Year Annual Research Report
Research for Problems in Information Security Caused by Application of Machine Learning
| Project/Area Number |
18K11248
|
|---|
| Research Institution | Tokyo University of Technology |
|---|
Principal Investigator |
宇田 隆哉 東京工科大学, コンピュータサイエンス学部, 准教授 (50350509)
|
|---|
| Co-Investigator(Kenkyū-buntansha) |
柴田 千尋 法政大学, 理工学部, 准教授 (00633299)
|
|---|
| Project Period (FY) |
2018-04-01 – 2023-03-31
|
| Keywords | 情報セキュリティ / 深層学習 / 人工知能 / 標的型マルウェア |
|---|
| Outline of Annual Research Achievements |
本プロジェクトでは、人工知能に使用されている深層学習を情報セキュリティに適用した場合の問題点について研究を行った。最終年度には具体的な成果として研究発表することはできなかったが、標的型マルウェアを機械学習で検出する手法について、解決の糸口がつかめたので報告する。
最新の標的型マルウェアは、標的デバイスから取得される情報を鍵として使用し、悪意のあるコードを暗号化して保持している。そのため、悪意のあるコードを機械学習で検出しようとしても、暗号化されているため判断できない。悪意のあるコードを暗号化したマルウェアは従来より存在し、ポリモーフィックと呼ばれているが、ポリモーフィックのマルウェアは復号用の鍵を内包しているため、鍵の所在と暗号化のしくみが既知である亜種マルウェアであれば暗号化された部分を復号できる。一方、最新の標的型マルウェアの場合、鍵は攻撃者と標的デバイスのみ保持しており、暗号化部分が復号できない。よって、機械学習による特徴検出だけでなく、静的解析や振る舞い検知も行えない。
そこで、本プロジェクトでは、標的型マルウェアであれば標的デバイスの情報を取得するコードを必ず含んでいると考え、擬似的に作成したコードを用いて実検体の標的型マルウェアの検出を試みた。結果は、情報処理学会コンピュータセキュリティシンポジウム2022にて発表したが、うまく検出することはできなかった。
本プロジェクトで作成した擬似検体は、標的デバイスの情報を取得する全コードからランダムに選択したものを保持するようにしたが、実検体はこれとは異なる特徴を有しているのではないかと考え、実検体が標的デバイスの情報を取得するために使用するコードの分布を図示したものを、国際会議ICICT2023にて発表した。これらの結果より、機械学習を用いて最新の標的型マルウェアを検出する手法を見いだせるのではないかと考えている。
|
