2013 Fiscal Year Research-status Report
新しいタイプの攻撃に対するセキュリティ対策を支援する自動トレースの並列分散処理
| Project/Area Number |
24500043
|
|---|
| Research Institution | Kyushu Institute of Technology |
|---|
Principal Investigator |
小出 洋 九州工業大学, 大学院情報工学研究院, 准教授 (90333517)
|
|---|
| Keywords | セキュリティ / 標的型攻撃 / 新しいタイプの攻撃 / 並列分散処理 / 脅威トレース |
|---|
| Research Abstract |
現在の企業や機関が備える情報システムは、ネットワークに接続されるルータやサーバ等の情報機器もその上で動作するアプリケーションも複雑かつ大規模になってきており、情報システムの設計者や管理者がその脆弱性や欠陥を見落とすことなく、設計や管理することが困難になっている。本研究の目的は、設計者や管理者が見落としがちな、脆弱性や欠陥、問題点を機械的、網羅的に検査し、役にたつツールとして利用できるようにすることである。その目的を達成するため、今年度は主に網羅的にシミュレータを自動実行するソルバの設計とプロトタイプ実装を行った。
すべての組み合わせを完全に網羅的に行うと、計算時間が掛かり過ぎてしまい、並列化や分散化を行っても実際的な実行時間で脅威トレースを行うことが困難である。そこで、過去の標的型攻撃を分析して得られる典型的なシナリオを定義し、それに基づき、シナリオの一部で必要な組み合わせを確認できる手法を提案した。さらに実装を行い、計算時間を短縮した上で情報システムの設計に資することができる有益なトレースが可能であることを確認できた。
さらにより実際的な標的型攻撃を行うためにモデルの拡張を2点行った。その1点目は境界内部におけるファイル共有(部局内で利用されているデータベース等)のモデル化であり、2点目は攻撃者が利用するC&Cサーバのモデル化である。この2点の拡張により、典型的な標的型攻撃における初期潜入段階、潜伏段階、標的にされている情報システムに合わせたマルウェアのカスタマイズ、遠隔操作等の一連の標的型攻撃のシミュレーションが可能なことが確認できた。この拡張により、脅威トレースをより効率的に実行するために、必要とされる抽象度はいまの実装よりもより高い方が良いことが分かった。
以上の成果は独立行政法人情報処理推進機構が行っている2014年度第一回脅威と対策研究会において本成果を口頭発表した。
|
| Current Status of Research Progress |
Current Status of Research Progress
2: Research has progressed on the whole more than it was originally planned.
Reason
本研究の目的である、情報システムの設計者や管理者が見逃しがちな、脆弱性や問題点を機械的、網羅的に検査するために、必要な拡張を進めている。現在までに本研究が対象としている標的型攻撃の主要な攻撃を模擬できる段階にきている。さらに昨年度まで未着手であったシミュレータをドライブするソルバの実装を進めている。並列分散化についても必要となる検討を行い、脅威トレースをひとつのサービスとして行う、サーバモジュールとして実装し、それの利用して分散的に脅威トレースを行う手法を設計している。よって概ね順調に進捗していると言える。
|
| Strategy for Future Research Activity |
まず、シナリオベースのソルバに関する研究については、広く議論を行うために国際会議等の対外発表を行い、外部の有識者の意見を収集する。
実装面については、モデルの高度化を行う他、より抽象度を高めたモデルを構築する。最初の段階として標的型攻撃に特化した脅威トレースを目指す。実用面については、本研究が実際の情報システムで活用できることを確かめるため、実際に利用されている情報システムから抽出したモデルに本手法を適用し、有益な知見が得られるか確かめることを行いたい。
さらにより有効な解析を行うにはシミュレーションのステアリング(シミュレーションの一時停止、パラメータ変更、巻き戻し等)ができると便利である。そのため、これまでに、アクタフレームワークの拡張を行い、シミュレーションのステアリングが可能であることを確かめている。今後、利用者にとって分かり易くかつエモーショナルにステアリングの内容を表示し、かつステアリング操作可能なGUIを構築する。
脅威トレースの並列分散化については、脅威トレースをひとつのサービスとして行うサーバモジュールとして実装し、それを利用して脅威トレースを行う手法を検討している。今後この手法により、効率の良い並列分散化を行う。
今回C&Cサーバのモデル化を行ったことにより、攻撃者側から見た視点を得ることができた。脅威トレースのひとつの応用として、攻撃者と管理者の模擬戦ができる脅威トレース上を用いたサイバー演習環境の構築が考えられる。
そのため必要となる機能について考察して、実際に模擬戦ができるように機能向上を行いたい。
|
