未知の攻撃に遭遇した際のプロセスの振る舞い検知と解析に関する研究

2020 Fiscal Year Research-status Report

• Project/Area Number: 19K20246
• Research Institution: Ariake National College of Technology
• Principal Investigator: 森山 英明 有明工業高等専門学校, 創造工学科, 准教授 (00633009)
• Project Period (FY): 2019-04-01 – 2022-03-31
• Keywords: オペレーティングシステム / 仮想計算機 / セキュリティ / 振る舞い解析

Outline of Annual Research Achievements

本研究課題における令和2年度の研究実績として，前年度の積み残し課題であった「検査用VM(解析用VM)の実現」について研究を進め，2件の研究発表[1][2]を行った．この検討課題は，マルウェアや標的型攻撃によるプログラムの振る舞いを解析するための実行環境を検査用VMとして実現することを目的としてあげている．ここで問題となるのは，検査用VM上の動作により，システムに影響を与えることや，機密情報が外部に漏えいするということが発生しないよう，機構を考察する必要がある．この課題に対して，文献[1]では，検査用VM作成の実現に関して作成手順をまとめ，提案として述べた．また，文献[2]では，検査用VM上におけるプロセスが，プロセス間通信を介して情報を漏えいする振る舞いに関して，防止する機能の提案について述べている．また，文献[2]で述べた案において，実現性の高い案を採用し，実験用計算機上に実装した．
一方，研究計画調書では，「プログラム解析手法の確立」を目標として掲げている．この検討課題は，検査用VM上でプログラムを動作させる際に，プログラムの動作ログの取得は可能であるが，これらのログから攻撃であることをどのように解析し，利用者に通知するかを明らかにする必要がある．動作ログの取得ができることは確認しているが，マルウェアや標的型攻撃による機密情報の取得手法は様々であり，現時点で具体的な方針は定まっておらず，学会発表等の研究実績はない．
[1]森山 英明，“機密情報へのアクセスを解析する解析用VM作成手法の実現，”電気・情報関係学会九州支部連合大会講演論文集2020, p.211，2020年10月.
[2]本田 匠，森山 英明，“プロセス間通信による機密情報拡散をKVMから防止する機能の検討，”電気・情報関係学会九州支部連合大会講演論文集2020, pp.209-210, 2020年10月.

Current Status of Research Progress

4: Progress in research has been delayed.

Reason

研究進捗状況に関して，研究計画書にある通り，令和2年度は「プログラム解析手法の確立」を予定していたが，具体的な方式の確立と効果の実証を行うことができていない．原因としては，前年度の積み残し課題であった「検査用VMの実現」への取り組みを行っており，解析手法の考察への取り組みが遅くなったことが挙げられる．また，COVID-19による研究外業務の増加，リモートワークによる研究環境の準備があり，研究を計画通りに進めることが困難であったと考える．

Strategy for Future Research Activity

前年度の積み残し課題に加え，研究計画調書に記載した通り「監視対象VMの停止と再開のルールの制定とシステムの高速化」に着手する．令和元年と2年では，システムの構成と実現方法について検討する研究課題をあげており，これらを実計算機上に実現する予定である．また，システムの実現後に，計算機運用における性能の測定を行う．具体的には，プロセスの振る舞い解析処理によるオーバヘッドを測定し，オーバヘッド改善に向けた案を検討し，実評価により改善を確認することまでを，本年度の研究目標とする．

Causes of Carryover

研究計画立案時は，仮想計算機とセキュリティの専門家と研究打ち合わせを行うことを予定していたが，COVID-19の影響により研究打ち合わせのための出張を自粛したため，次年度使用額が生じた．また，学会発表も中止，またはオンラインで実施が増えたため，予定していた出張費の執行ができなかった．そのかわりに，オンラインでの打ち合わせを行うための機材等の購入を行った．さらに，昨年度の研究進捗が遅れたため，当初予定していた機材の購入を見送った．
今年度もCOVID-19による出張自粛が予想されるため，前年度見送った機材の購入を行い，また，国際学会への論文投稿時に校正を利用する等，出張以外での学会活動に費用を充てる予定である．

Research Products

• [Journal Article] 機密情報へのアクセスを解析する解析用VM作成手法の実現 (2020)
  • Author(s): 森山 英明
  • Journal Title: 電気・情報関係学会九州支部連合大会講演論文集2020 Volume: 2020 Pages: 211
• [Journal Article] プロセス間通信による機密情報拡散をKVMから防止する機能の検討 (2020)
  • Author(s): 本田 匠，森山 英明
  • Journal Title: 電気・情報関係学会九州支部連合大会講演論文集2020 Volume: 2020 Pages: 209 - 211
• [Journal Article] Improvement and Evaluation of a Function for Tracing the Diffusion of Classified Information on KVM (2020)
  • Author(s): Moriyama Hideaki、Yamauchi Toshihiro、Sato Masaya、Taniguchi Hideo
  • Journal Title: Advances in Networked-Based Information Systems, NBiS 2020, Advances in Intelligent Systems and Computing Volume: 1264 Pages: 338～349
  • DOI: 10.1007/978-3-030-57811-4_32
  • Peer Reviewed
• [Presentation] 機密情報へのアクセスを解析する解析用VM作成手法の実現 (2020)
  • Author(s): 森山 英明
  • Organizer: 電気・情報関係学会九州支部連合大会
• [Presentation] プロセス間通信による機密情報拡散をKVMから防止する機能の検討 (2020)
  • Author(s): 本田 匠，森山 英明
  • Organizer: 電気・情報関係学会九州支部連合大会