| 研究課題/領域番号 |
20K20625
|
|---|
| 研究機関 | 北陸先端科学技術大学院大学 |
|---|
研究代表者 |
小川 瑞史 北陸先端科学技術大学院大学, 先端科学技術研究科, 教授 (40362024)
|
|---|
| 研究分担者 |
NGUYEN MinhLe 北陸先端科学技術大学院大学, 先端科学技術研究科, 教授 (30509401)
寺内 多智弘 早稲田大学, 理工学術院, 教授 (70447150)
関 浩之 名古屋大学, 情報学研究科, 教授 (80196948)
|
|---|
| 研究期間 (年度) |
2020-07-30 – 2026-03-31
|
| キーワード | 動的記号実行 / 命令セット / バイナリコード / マルウェア / 自然言語処理 / RE-DOS攻撃 / プライバシー |
|---|
| 研究実績の概要 |
R5年度の研究は、代表者および分担者(グエン)は形式手法ツール開発および実装および実験、分担者(寺内、関)は主にセキュリティに関する基礎理論部分について研究を進めた。
代表者は、指導する博士課程学生 Nguyen Van Anh氏と共同でAndroid/apk上の記号実行器HyberidSE https://github.com/vananhnt/corana の研究開発(ロレーヌ大学と共同)を進めた。また、過去に開発した x86/win上の記号実行器 BE-PUMを用いて、パッカーを用いた制御構想隠蔽を持つマルウェア群に対し、グラフカーネルに基づく類似性に基づくパッカー同定・Entry検出を試み、良好な結果を得た。
分担者(グエン)は、インストラクションマニュアルと同様に論理構造を明確に持つ法令文書を対象に深層学習や生成AIを応用した論理帰結構造の抽出を進めた。現在、インストラクションマニュアルへの同様な手法の適用による形式的意味抽出を検討している。
分担者(寺内)は、近年注目されるスクリプト言語に対するRE-DOS攻撃の理論的基礎として、後方参照や先読みといった拡張機能を含む正規表現の表現力についての研究を行った。加えて、文字列抽出のための拡張正規表現の合成・修正に関する研究を行った。さらに、代数的エフェクトを含むプログラムの型による静的解析に関する研究を行った。
分担者(関)は、ゲームにおけるプレイヤーの勝利目的をそのプレイヤー(ユーザ)のプライバシー情報とみなし,ゲームを観測する敵対者がプレイヤーの勝利目的を推測するのをできる限り困難とするような戦略(識別不能戦略)および,どのプレイヤーも単独では推測困難性を大きくすることはできないような戦略の組(目的識別不能均衡)を定義し,それらに関する判定問題の判定可能性や計算量を解析した。
|
| 現在までの達成度 (区分) |
現在までの達成度 (区分)
2: おおむね順調に進展している
理由
本研究で以前より進めてきたx86/win上のBE-PUM実装(もともとは32bit版であったが、現在、ベトナムの研究協力者、Le Quy Don技術大学のPhan Viet Anh博士のグループにより64bit版への拡張の実装を進めている)に加え、代表者の進めるAnroid/apk上の記号実行器 HyberidSEのプロトタイプ実装が完成した。Apk形式はEntryを記述するmanifest.xml, dex bytecode, .soに含まれる native code からなりOSライブラリAPIの呼出も持つため、異環境をシームレスにつなぐ必要がある。しかし異環境下の環境の受け渡しは容易ではなくインターフェースの(半)自動抽出などを試みている。
現在、x86/win上のマルウェア上での実験に加え、Androidマルウェアを含むapkファイル群上の実験を開始している。x86/winマルウェアはパッカー利用によるバイナリコードの暗号化・復号化などが代表的なパッカーにより施されるのに比べ、Android/apkマルウェアはmanifest.xmlの記述隠蔽によるEntry秘匿や、dex bytecodeのnative codeへのコンパイル、native codeの動的読み込みなどと手法が異なることを観察している。なお、論文投稿が遅れているが、現在、2件の国際会議投稿を準備中である。
分担者(グエン)の研究の進捗は、今後の記号実行器のサポートするインストラクションセットの拡張にむけて応用を期待している。また分担者(寺内、関)の研究の進捗は現状までは直接に記号実行器の開発実装には関連していないが、今後、記号実行器により得られた制御フローグラフに対する(AI手法を含む)統計的解析手法のターゲットとなる性質 として利用する予定である。
|
| 今後の研究の推進方策 |
マルウェアを含むバイナリコードの形式手法としての記号実行器の開発実装は、現在までに x86-32/Win (BE-PUM), ARM-32/Android (CORANA, HybridsSE), MIPS-32/linux (SIMIPS) に対して行ってきた。近年の潮流として、インストラクションセットは PCはx86, スマホやタブレットはARMが主流であるが、新たな流れとして、制御装置におけるMPUをFPGAでRISC-Vインストラクションセットの実装が散見される。今後、x86-32, ARM-32 の64bit への拡張に加え、ベトナム国家大学ハノイ校との協働で RISC-V に対する記号実行器の開発実装の可能性を模索している。これは過去にインストラクションマニュアルからの各インストラクションの形式的意味の実装をルールベースの古典的自然言語処理に加え、深層学習やLLMを用いた自動化を検討し一定の成功を収めてきた。この手法の適用を、分担者(グエン)と共同で行う。
記号実行器の実装がされると、得られる最も大事な情報は制御構造グラフ(Control Flow Graph)である。制御構造グラフの類似性、脆弱性を持つ特徴的な制御列、また情報のソースからリークへの到達可能性など、ターゲットとなるセキュリティの性質の形式化に基づき、マルウェア分類、脆弱性および脆弱性攻撃の検出、情報の漏洩可能性、悪意の侵略可能性などの性質の自動検出をめざす。
|
| 次年度使用額が生じた理由 |
R5年度に若干の残(次年度使用額)が生じたのは、旅費ならびに人件費(研究員雇用)の額に若干の変更(例えば国際会議発表のためのベトナム人留学生のビザが間に合わなかったなど)による。次年度においては積極的に国際会議投稿を進める予定なので、次年度使用額は主に旅費に充当する。
|
| 備考 |
フランス・ロレーヌ大学とは、Jean-Yves Marion教授とARM/Android上のapkファイルの記号実行器 HybridSEの研究開発、ベトナム・Le Quy Don技術大学とは、Phan Viet Anh博士(JAIST修了生)とx86/win上の記号実行器BE-PUMの64bit化の研究開発を協働しており、実装を進めた。
|
