ソフトウェアバースマークによる実践的なソフトウェアの盗用検出

• 研究課題/領域番号: 20K11761
• 研究種目: 基盤研究(C)
• 配分区分: 基金
• 応募区分: 一般
• 審査区分: 小区分60050:ソフトウェア関連
• 研究機関: 京都産業大学
• 研究代表者: 玉田 春昭 京都産業大学, 情報理工学部, 准教授 (30457139)
• 研究分担者: 神崎 雄一郎 熊本高等専門学校, 電子情報システム工学系, 准教授 (90435488)
• 研究期間 (年度): 2020-04-01 – 2024-03-31
• 研究課題ステータス: 交付 (2022年度)
• 配分額: 4,290千円 (直接経費: 3,300千円、間接経費: 990千円); 2023年度: 1,040千円 (直接経費: 800千円、間接経費: 240千円); 2022年度: 1,040千円 (直接経費: 800千円、間接経費: 240千円); 2021年度: 1,040千円 (直接経費: 800千円、間接経費: 240千円); 2020年度: 1,170千円 (直接経費: 900千円、間接経費: 270千円)
• キーワード: シンボリック実行 / 原告ソフトウェア / 動的バースマーク / ソフトウェアの盗用検出 / テストの自動生成 / バースマークの堅牢性評価 / ソフトウェア保護 / Project as a City / プロジェクトの可視化 / 盗用検出 / ソフトウェアバースマーク / バースマークの堅牢生評価 / スケールアップ / 動的解析の自動化 / 記号実行

研究開始時の研究の概要

本研究では，一般ユーザが，自身が持つソフトウェアの盗用検出を事前準備なしで検査できる機構の提案を目指す．このことをカジュアルな盗用検出と呼ぶ．そのために，従来のバースマーク手法の手順を改良し，検査対象となるソフトウェア群の大幅なスケールアップや，盗用判定基準の見直しを行う．加えて，動的解析の自動化が困難であるため，スケールアップが困難であった動的バースマークも本研究の対象にする．そのために，記号実行による動的解析の自動化にも取り組む．

研究実績の概要

本研究の目的は，専門知識なしに，ソフトウェアの盗用の検出が行えるシステムの構築にある．そのために(A) 動的バースマークの抽出の自動化，(B) バースマークの判定基準の改善，(C) 検査対象規模の拡大，そして (D) バースマークの堅牢性評価という4つの研究課題を挙げている．
従来，動的解析が必要な動的バースマークの抽出には，同じような経路を通るようにするため，人手による入力の調整が必要であった．しかし，先行研究により，原告ソフトウェア（盗用ではない出自が明らかなもの）に限れば，単体テストを用いることで，動的バースマークの自動抽出が行えるようになった．(A)ではこの手法の被告ソフトウェアへの拡張を狙う．そのために，テストの自動生成技術を用いて単体テストを生成し，従来手法の適用を考える．
本年は主に(A)に取り組み，シンボリック実行技術を用いて，原告から入力を導出し，得られた入力をそのまま被告にも与えられるようになった．ただし，入力を導出できるプログラムの規模は小規模なものであり，大規模なプログラムに対しては対応できていない．
一方，プロジェクトを特徴付けるメトリクスについても調査した．GitHubは広く一般に使われるプロジェクトホスティングサービスである．つまり，このGitHubに登録されているプロジェクトは原告ソフトウェアとして利用できることになる．そこでGitHubの任意のプロジェクトの特徴を抽出するツールを作成した．ここで得られた特徴は，引いてはプログラムの特徴にも紐付けられると期待できる．これはつまり，原告ソフトウェアに限定されるものの，(C) 検査対象規模の拡大の成果に結びつく．

現在までの達成度 (区分)

3: やや遅れている

理由

本研究では，3つの研究課題を挙げている．(A) 動的バースマークの抽出の自動化，(B) バースマークの判定基準の改善，(C) 検査対象規模の拡大，そして，(D) バースマークの堅牢性評価である．このうち本年度は (A) 動的バースマークの抽出の自動化で，シンボリック実行を用いた成果を出している．また，プロジェクトの特徴を抽出するツールを作成し，原告ソフトウェアではあるものの大規模なソフトウェアリポジトリ群から特徴を抽出できたことから (C) の成果にも結びついたと言える．一方で，(B)，(D) は成果に結びついていない．
4つの研究課題のうち，(A), (C) の2つは順調に進んでおり，(B), (D)は成果に結びついていないことから，やや遅れていると判断した．

今後の研究の推進方策

次年度も本年度に取り組んだ内容を踏まえて，(A)から(D)までの研究課題それぞれを拡張する．特に(A)では，既知のソフトウェアとそれに似たソフトウェアの類似性を計測するため，既知のソフトウェアに対する入力を未知のソフトウェアにも規定の入力を与えるという別のアプローチに取り組んでいく．
加えて，(C) にも別のアプローチに取り組み，被告ソフトウェアのバースマーク抽出の大規模化に取り組んでく．同様に(B), (D) のツールの実装を行った上で取り組んでいく．

研究成果

• [学会発表] シンボリック実行を利用した動的ソフトウェアバースマークの抽出システムの検討 (2023)
  • 著者名/発表者名: 松田 隼汰, 神崎 雄一郎, 光本 智洋, 玉田 春昭
  • 学会等名: 情報処理学会第85回全国大会講演論文集 (講演番号6K-05)
• [学会発表] GitHub における模範プロジェクトの検出とその成長パターンの分類に向けて (2022)
  • 著者名/発表者名: 開出 凱斗, 玉田 春昭，戸田 航史，中村 匡秀
  • 学会等名: 第29回ソフトウェア工学の基礎ワークショップ（FOSE2022）
• [学会発表] Argo: Projects’ Time-Series Data Fetching and Visualizing Tool for GitHub (2022)
  • 著者名/発表者名: Kaide Kaito、Tamada Haruaki
  • 学会等名: Proc. 23rd ACIS International Conference on Software Engineering, Artificial Intelligence, Networking and Parallel/Distributed Computing (SNPD 2022 Summer)
  • 国際学会
• [学会発表] Overcoming the obfuscation method of the dynamic name resolution (2022)
  • 著者名/発表者名: Naruaki Otsuki, Haruaki Tamada
  • 学会等名: the 5th International Conference on Software Engineering and Information Management (ICSIM 2022)
  • 国際学会
• [学会発表] 命令列の自動生成機構を用いたLLVM IRコードの難読化の試み (2022)
  • 著者名/発表者名: 光本智洋，神崎雄一郎
  • 学会等名: 情報処理学会第84回全国大会
• [学会発表] 自発的ソフトウェア進化におけるプロジェクトの成長過程可視化ツールの試作 (2021)
  • 著者名/発表者名: 樋口 凱斗, 玉田 春昭, 戸田 航史, 中村 匡秀
  • 学会等名: ソフトウェアシンポジウム2021
• [学会発表] SMTソルバによる命令列生成を用いたアセンブリプログラムの難読化 (2021)
  • 著者名/発表者名: 光本智洋，神崎雄一郎
  • 学会等名: 情報処理学会第83回全国大会講演論文集
• [備考] pochi
  • URL: https://tamada.github.io/pochi/