耐解析機能を逆用したマルウェアの活動抑制システムに関する研究開発

• Project/Area Number: 22K12037
• Research Category: Grant-in-Aid for Scientific Research (C)
• Allocation Type: Multi-year Fund
• Section: 一般
• Review Section: Basic Section 60070:Information security-related
• Research Institution: Nara Women's University
• Principal Investigator: 瀧本 栄二 奈良女子大学, 情報基盤センター, 准教授 (90395054)
• Project Period (FY): 2022-04-01 – 2026-03-31
• Project Status: Granted (Fiscal Year 2023)
• Budget Amount: ¥4,290,000 (Direct Cost: ¥3,300,000、Indirect Cost: ¥990,000); Fiscal Year 2025: ¥1,040,000 (Direct Cost: ¥800,000、Indirect Cost: ¥240,000); Fiscal Year 2024: ¥1,430,000 (Direct Cost: ¥1,100,000、Indirect Cost: ¥330,000); Fiscal Year 2023: ¥1,040,000 (Direct Cost: ¥800,000、Indirect Cost: ¥240,000); Fiscal Year 2022: ¥780,000 (Direct Cost: ¥600,000、Indirect Cost: ¥180,000)
• Keywords: 情報セキュリティ / マルウェア / ネットワークシミュレータ / EDR

Outline of Research at the Start

これまでのマルウェア対策はマルウェア検知等の感染防止が主である．しかし，マルウェアの進化により感染を完全に防ぐことは困難である．本研究課題では，従来のマルウェア感染防止ではなく，感染後に着目し，マルウェアの動作を妨害することで感染による被害を防ぐことを目的とする．
マルウェアの多くは自衛手段として解析されていることを検知する耐解析機能を持ち，解析されていることを検知すると，動作停止等により解析を妨害する．本研究は耐解析機能を逆手に取り，わざと耐解析機能にひっかかる環境を作り出すことでマルウェアを動作できない状況に追い込み，マルウェアによる被害を防ぐ．

Outline of Annual Research Achievements

当該年度は，本研究課題の主目的である耐解析機能を逆用したマルウェア対策技術についてこれまでの研究成果の実験データ整理と論文執筆活動を行った．現状は対象とする耐解析機能としてアンチデバッグを対象とし，効果の異なる2種類の手法の開発と実験が完了している．それらのうち，１つの手法について論文執筆とデータ加工を行っている途中である．論文については，2024年度中の採録を目指す．また，もう一方の手法については，別途詳細な実験を行った後，こちらも2024年度中に投稿する予定である．
本研究課題で開発する技術は，一般的にEnd Point Protectionと呼ばれるものに分類され，既存のウイルス対策ソフトと同様にエンドユーザの端末上で動作することを想定している．今回，本技術の弱点として，マルウェアの被害を抑制できるがマルウェアの検知には不向きであることが明らかとなった．そこで，本技術を補強すべく，マルウェアによる内部感染通信行動を検知し，感染端末を特定する技術に関する研究を新たに開始した．その研究では，本来セキュリティ用途を想定していないネットワークシミュレータを応用する．2023年度は，ネットワークシミュレータを応用してマルウェアの動的解析環境を構築し，既存のIoTマルウェアであるMiraiを解析可能であることを確認した．その過程で，ネットワークシミュレータをセキュリティに応用し，マルウェア検知に向けた技術の開発が可能であることを確認した．具体的には，ネットワークシミュレータ内のノードと実環境との通信を可能としたうえで，LANの監視を行う．ネットワークシミュレータに未使用のIPアドレスとポート番号への通信に対して応答するノードを用意しておくことで，検知した通信が悪意あるものか否かを正確に判断した上でマルウェアが感染した端末検知が期待できる．

Current Status of Research Progress

3: Progress in research has been slightly delayed.

Reason

2023年度は本務が忙しく十分な研究時間を確保できなかった．2024年度は十分な時間を確保できるよう調整済みであり，遅れを取り戻す予定である．

Strategy for Future Research Activity

初年度より開発している技術については，将来的な社会実装をにらんだ改善を施していく．
本研究課題が対象とする耐解析機能はアンチデバッグ以外にも種類がある．それらも対象とした技術を研究し，より強固なセキュリティ実現を目指す．

Research Products

• [Presentation] マルウェアの動的解析を支援するネットワークシミュレータの提案 (2024)
  • Author(s): 原 淳一郎，毛利 公一，金城 聖，瀧本 栄二
  • Organizer: 2024年暗号と情報セキュリティシンポジウム(SCIS2024)
• [Presentation] eBPFを用いたアンチVMの逆用によるIoTマルウェアの対策手法の検討 (2023)
  • Author(s): 岡迫孝史，瀧本栄二
  • Organizer: 電子情報通信学会総合大会
• [Presentation] 軽量デバッガを用いたマルウェア動作妨害機構の実装と評価 (2022)
  • Author(s): 志倉大貴，西村俊和，瀧本栄二
  • Organizer: コンピュータセキュリティシンポジウム