| 研究課題/領域番号 |
22K12037
|
|---|
| 研究種目 |
基盤研究(C)
|
| 配分区分 | 基金 |
|---|
| 応募区分 | 一般 |
|---|
| 審査区分 |
小区分60070:情報セキュリティ関連
|
|---|
| 研究機関 | 奈良女子大学 |
|---|
研究代表者 |
瀧本 栄二 奈良女子大学, 情報基盤センター, 准教授 (90395054)
|
|---|
| 研究期間 (年度) |
2022-04-01 – 2026-03-31
|
| 研究課題ステータス |
交付 (2022年度)
|
| 配分額 *注記 |
4,290千円 (直接経費: 3,300千円、間接経費: 990千円)
2025年度: 1,040千円 (直接経費: 800千円、間接経費: 240千円)
2024年度: 1,430千円 (直接経費: 1,100千円、間接経費: 330千円)
2023年度: 1,040千円 (直接経費: 800千円、間接経費: 240千円)
2022年度: 780千円 (直接経費: 600千円、間接経費: 180千円)
|
|---|
| キーワード | 情報セキュリティ / マルウェア / EDR |
|---|
| 研究開始時の研究の概要 |
これまでのマルウェア対策はマルウェア検知等の感染防止が主である.しかし,マルウェアの進化により感染を完全に防ぐことは困難である.本研究課題では,従来のマルウェア感染防止ではなく,感染後に着目し,マルウェアの動作を妨害することで感染による被害を防ぐことを目的とする.
マルウェアの多くは自衛手段として解析されていることを検知する耐解析機能を持ち,解析されていることを検知すると,動作停止等により解析を妨害する.本研究は耐解析機能を逆手に取り,わざと耐解析機能にひっかかる環境を作り出すことでマルウェアを動作できない状況に追い込み,マルウェアによる被害を防ぐ.
|
| 研究実績の概要 |
2022年度は,マルウェアのアンチデバッグ機能を逆用する技術として,アプリケーション起動時にデバッグを自動生成しアタッチする機構を開発した.本機構はWindowsオペレーティングシステムのドライバ,デバッガ生成サーバ,軽量デバッガとして構成され,アプリケーション起動を検知すると起動を一時的に停止し,デバッガ生成サーバに通知して軽量デバッガを生成し該当アプリケーションにアタッチしたのちに起動処理を再開させるものである.これにより,アプリケーションに制御が移行するまでにデバッガがアタッチされており,その結果当該アプリケーション(マルウェアの場合)がアンチデバッグを行うとアタッチ済みデバッガが検知され,最終的にマルウェアが解析妨害のために動作停止するよう仕向けることができる.当初の実装ではオーバヘッドが課題であったが,軽量デバッガの改良等により,多数のアプリケーションが実行されてもメモリ消費量・CPU使用量を大幅に軽減することができた.
また,効果範囲は狭いがより低オーバヘッドでアンチデバッグを逆用する手法として,プロセス管理領域のデバッガの有無を表すフラグを書き換える手法を考案し,その基本的な性能評価を終えた.その結果,デバッガを用いないため上記デバッガを用いた手法と比較してさらに低オーバヘッドでの実行ができることを確認した.さらに,IoTデバイスに多く利用される組込みLinuxを対象としたアンチ仮想化機能を逆用する手法の基礎検討を行い,逆用可能であることを確認した.
|
| 現在までの達成度 (区分) |
現在までの達成度 (区分)
1: 当初の計画以上に進展している
理由
当初計画では主にマルウェアのアンチデバッグを逆用する手段として独自のデバッガを自動的にアタッチする手法の完成を目標としていたが,低オーバヘッドな仕組みの導入まで達成できた.
また,2年目以降の予定であったアンチ仮想化の逆用の基礎検証ができたこと,およびアンチデバッグを逆用する新たな手法についても考案と基本的な実装ができたことから,計画以上に進展していると判断する.
|
| 今後の研究の推進方策 |
現状のデバッガを使用した手法は,低オーバヘッド化を施したもののこれ以上のオーバヘッド削減を見込むことは困難である.一方で,今年度検討した新しい手法はほぼオーバヘッド無しで限定的ではあるが同様の効果が見込める.次年度は後者の手法をブラッシュアップした上で,ユーザの要求に応じて使い分けれるようにしていく.
また,実用化を考慮し,監視対象アプリケーションの指定方法などの実用面での検討も行う.
|
