標的型攻撃による情報漏洩問題は極めて深刻な社会問題であり、その中でもDNSトンネリングを利用した情報漏洩が確認されている。このDNSトンネリング自体の関連研究は複数存在し、有効な検知手法が提案されている。しかしこれらの手法は、特定マルウェアや特定トンネリングツールから得られる特徴量を元に構築されているため、攻撃者はこのような特徴量を生み出さないマルウェア(例えば、一般ユーザの行動を模倣するマルウェア)を作成して、検知手法をバイパスすることは容易であると考える。そのため、様々な未知のDNSトンネリングトラフィックに対しては対処できないという根本的な問題が存在する。そこで本研究では、特定のDNSトンネリングトラフィックに依存しない汎用性のあるDNSトンネリング検知手法を設計し、情報漏洩を防止することを目指す。 最終年度では、昨年度までに提案したフィルタをバイパスするマルウェアを評価するため、研究調査としてGANのような生成AIを利用したマルウェアに関する意見交換を行なった。研究期間全体を通じて、特定のDNSトンネリングトラフィックに依存しない汎用性のあるDNSトンネリング検知手法を設計するために、キャッシュ特性に注目した特徴量を提案し、その特徴量を元にルールベースとLSTMベースの2種類のフィルタを設計・作成して評価した。両フィルタは攻撃の誤検知率を低く保ちながら、ルールベースフィルタはLSTMベースフィルタよりも攻撃検知の精度は高く、またLSTMベースフィルタはルールベースフィルタよりも検知スピードは速いということを示した。その研究成果は、国際ジャーナルに掲載された。また、本研究を遂行する過程で、Webブラウザから1語の検索クエリがDNSに漏れる問題を発見し、その問題の実態調査と利用者の興味関心漏れによるプライバシー侵害の評価を行った。その研究成果は、国際レターに掲載された。
|