2012 Fiscal Year Annual Research Report
| Project/Area Number |
24680006
|
|---|
| Research Category |
Grant-in-Aid for Young Scientists (A)
|
| Research Institution | Yokohama National University |
|---|
Principal Investigator |
吉岡 克成 横浜国立大学, 大学院・環境情報研究院, 准教授 (60415841)
|
|---|
| Project Period (FY) |
2012-04-01 – 2015-03-31
|
| Keywords | マルウェア対策 / 標的型攻撃対策 |
|---|
| Research Abstract |
企業や政府機関を狙った標的型攻撃により重要な機密情報が漏洩し,社会問題となっている.そこで本研究では(A)ステルス性の高いマルウェアの中長期的挙動観測による動的検知手法(B)標的型攻撃の情報共有を促進するための,マルウェア検体のサニタイズ手法をそれぞれ提案・実装・評価し,標的型攻撃への実効性の高い対策技術の確立を目指す.
平成24年度は,課題(A)(B)に共通する項目として,まず安全に研究を行うための実験環境を横浜国立大学内に構築した.解析環境の現実性を高くするため,数台程度の仮想マシンからなる小規模ネットワークを構成し,この中でマルウェアの挙動の中長期的な観測を行った.具体的には攻撃者とのC&C通信,感染環境の偵察,機密情報の探索と漏洩に着目してモニタリングを行い,その特徴(通信頻度や使用ポート,通信内容,偵察・探索方法)を抽出することで検知手法を構築するための基礎データを得た.
さらに,攻撃コードおよびマルウェア本体が埋め込まれたPDF文書(不正PDF文書と呼ぶ)の中のテキスト部分や作成者などのメタ情報を特定し,これを削除することでサニタイズを行う手法を検討した,サニタイズ前と後の不正PDF文書の両方を,脆弱性を有する閲覧ソフトで実際に閲覧し,感染時の動作をトレースする仕組みも構築した.
上記に加えて,標的型攻撃に対する具体的な対抗策としてダミー情報を用いた不正侵入検知の手法を提案した.この手法では,不正侵入を未然に完全に防ぐことは難しいという前提に立ち,侵入時に攻撃者や攻撃者が操るマルウェアが収集するシステム情報内に不正侵入検知用のダミー情報を用意しておくことで,この情報へのアクセスや,この情報が漏えいし,攻撃者に悪用されたことを検知する手法を提案し,実マルウェア検体を用いた評価実験を行った.
|
| Current Status of Research Progress |
Current Status of Research Progress
2: Research has progressed on the whole more than it was originally planned.
Reason
今年度予定していた実験環境の整備は完了しており,課題(A)(B)ともに予定通り進展している.
|
| Strategy for Future Research Activity |
標的型攻撃の脅威は益々増大していると考えられ,当初に計画していた実験環境に対して必要に応じて機能追加しながら研究を遂行してゆく.企業からの標的型攻撃関連情報の提供についても進んでおり,提案手法の評価についても充実化を図る.
|
| Expenditure Plans for the Next FY Research Funding |
当初予定していた米国への出張が先方の都合により取りやめとなったため,助成金の繰り越しが発生したが,本年度は当該出張を実施するため,計画通りの執行となる予定である.
|
