最終年度は,IoTを対象としたボット系マルウェアであるMiraiとその亜種を対象とした開発を行った.ボットはボットネット管理とボットに指令を出すCC\&Cサーバと通信する.そこで,ネットワークシミュレータns-3上でC&Cサーバを模倣するノードを作成し,ボットの制御を行うことを可能とした.ボットとC&Cサーバとの通信はns-3のタップ機能を使い,実環境のボットとシミュレータ内部のノード間での通信ができるようにした.実際に行われる通信は通信先が多様なため,ボットの通信をすべてns-3に引き込み,そのIPアドレスを分析し,C&CサーバをシミュレートするノードがどのIPアドレスであってもそのIPアドレスを詐称するよう開発を行った.GitHubで公開されているMiraiのC&CサーバをベースにMirai系亜種の通信内容も解析を行い,複数の亜種を制御し,例えばDDoS攻撃のコマンドを発行し,ボットが指定されたIPアドレスに対して攻撃となるトラフィックを発生させた場合,そのトラフィックもns-3に引き込み,シミュレータ内のシンクノードに制御することで,ボットの起動からC&Cサーバとの通信,さらには実際の攻撃に至るまでを1つの仮想環境とns-3,すなわち1プロセスで完結させることができた. 研究期間全体ではボットを中心とした通信とDDoS攻撃の再現を行ってきたが,実際のボットを使用することでより具体的な攻撃やC&Cサーバとの連携をシミュレータで再現することができた.本研究課題は最終的に情報セキュリティ教育に資することであるが,コロナ渦の影響もあり教育への活用まで到達できなかった.ただし,本研究成果は,情報セキュリティ教育だけでなく,マルウェア解析や侵入検知・防御機構への応用が可能であり,十分に有用であると考える.
|