| 研究課題/領域番号 |
21KK0178
|
|---|
| 研究機関 | 神戸大学 |
|---|
研究代表者 |
小澤 誠一 神戸大学, 工学研究科, 教授 (70214129)
|
|---|
| 研究分担者 |
吉岡 克成 横浜国立大学, 大学院環境情報研究院, 准教授 (60415841)
金 相旭 神戸大学, 工学研究科, 助教 (00826878)
班 涛 国立研究開発法人情報通信研究機構, サイバーセキュリティ研究所, 主任研究員 (80462878)
|
|---|
| 研究期間 (年度) |
2021-10-07 – 2027-03-31
|
| キーワード | サイバーセキュリティ / 機械学習 / 攻撃生成過程 / 悪性サイト検知 / 悪性JavaScript検知 / 深層学習 |
|---|
| 研究実績の概要 |
本研究では、防御側の観測・検知を回避・無効化する攻撃の仕組みなど、ドメイン知識を有する専門家と国際連携体制を築き、観測のみに頼るリアクティブな対策だけでなく、新たな攻撃への予測と迅速な対応を行うプロアクティブなセキュリティ対策の構築を目指している。本年度は海外渡航が不可能であったため、国内チームの吉岡(横国大)、班(NICT)、金、小澤(神戸大)と以下の研究を実施した。
1)小澤、班、金は、URL文字列から悪性が疑われるWebサイトのHTMLコンテンツを取得し、それぞれのHTMLタグ階層構造(DOM)をグラフ表現し、それをgraph2vecで埋め込みベクトルに変換して、正規サイトを装うフィッシングサイトを見つける方法を提案した。PhishTankとOpenPhishのフィッシングサイト151件を用いた実験では、80%のフィッシングサイトがクラスタを形成し、これらクラスタが共通してもつ外部リンクから正規サイトを特定したところ、AmazonとFacebookを騙るフィッシングサイト群を見つけた。また、VirusTotalで取得可能なドメインのWhois情報、レビュー情報、DNSレコード、SSL証明書情報などを特徴量として機械学習で悪性判定する方法を提案した。その結果、1550サイトに対し、フィッシングサイトは88%、マルウェアホストサイトは91%の精度で検知できた。
2)吉岡は、WarpDrive実証実験に参加している508ユーザが受信したSMS、合計23,133件(良性 22,800件、悪性333件)を調べたところ、SMSを多く受信するユーザが悪性SMSを受信しやすいわけではなく、現時点では、攻撃者はランダムに悪性SMSを送付していることが推測された。また、悪性SMSは深夜と早朝には送られず、午後2時から5時の期間に集中していることがわかった。
|
| 現在までの達成度 (区分) |
現在までの達成度 (区分)
3: やや遅れている
理由
本年度においても、新型コロナ感染症の状況が改善せず、海外共同研究者との直接的な共同研究はできなかった。このため、国内の研究分担者との研究を中心に実施している。当初予定していた「ウェブ媒介型攻撃の生成過程モデル」については、おおむね順調に進められており、現在、3本のジャーナル論文と2本の国際会議論文を投稿予定である。「マルウェアによる攻撃生成過程モデル」については、やや遅れ気味であるが、「DoS攻撃の生成過程モデル」について、吉岡は海外共同研究者とリモートで共同研究を進めており、国際会議論文1件を投稿して条件付き採択になっており、順調に研究を進めている。
|
| 今後の研究の推進方策 |
次年度においては、新型コロナ感染症の状況が改善し、海外渡航が可能になることを想定し、以下の方針で研究を進める予定である。
(a)ウェブ媒介型攻撃の生成過程モデル:ウェブ媒介型攻撃につながる悪性サイトの「ドメイン生成」やユーザを誘引する「ウェブサイト改ざん」や「スパムメール送信」は、マルウェア感染したボットが関与しているとされ、UNBのAli Ghorbani教授と連携して、このようなマルウェアをハニーポットで捕捉し、サンドボックス動的解析などを通して、攻撃生成過程を分析する。
(b)マルウェアによる攻撃生成過程モデル:マルウェアは多様な機器を攻撃対象とするため、攻撃の前段階で広範囲に脆弱性探索を行う。感染後は大量の通信を行い、サービス妨害攻撃やランサム攻撃、制御機器の管理権限取得といった典型的な攻撃挙動が存在する。これら攻撃に共通した特徴に着目して攻撃生成過程をモデル化するため、UNBのGhorbani教授とTU DelftのMichel van Eeten教授と連携し、サイバー攻撃を観測するハニーポットの運用や収集マルウェアの挙動分析を進める。
(c)DoS攻撃の生成過程モデル:攻撃者は悪用可能なサービスを探索して攻撃を試行し、効果が得られたものを本格利用していると考えられる。断片的に観測される探索、試行、本格利用といった攻撃プロセスをモデル化し、悪用されやすいネットワークサービスを特定して、早期に注意喚起するプロアクティブな対策を実現するため、CISPAのChristian Rossow教授やTU DelftのVan Eeten教授との連携を進める。
|
| 次年度使用額が生じた理由 |
新型コロナ感染症の状況が改善せず、海外での共同研究は不可能であったため、サードパーティ・マルウェア検査サービスからの情報取得とデータベース化を中心に予算の利用計画を行った。しかし、このサービスはクレジットカード決済が必須であり、10月~1月の使用料については、本研究費を使用できたが、2月~3月については別予算での支出が必要となった。このため、予算に残額が発生した。
|
