| 研究課題/領域番号 |
21KK0178
|
|---|
| 研究機関 | 神戸大学 |
|---|
研究代表者 |
小澤 誠一 神戸大学, 数理・データサイエンスセンター, 教授 (70214129)
|
|---|
| 研究分担者 |
吉岡 克成 横浜国立大学, 大学院環境情報研究院, 教授 (60415841)
金 相旭 神戸大学, 工学研究科, 助教 (00826878)
班 涛 国立研究開発法人情報通信研究機構, サイバーセキュリティ研究所, 主任研究員 (80462878)
|
|---|
| 研究期間 (年度) |
2021-10-07 – 2027-03-31
|
| キーワード | サイバーセキュリティ / 機械学習 / 攻撃生成過程モデル / ウェブ媒介型攻撃 / DoS攻撃 |
|---|
| 研究実績の概要 |
本研究では、防御側の観測・検知を回避・無効化する攻撃手法の知見と防御対策の経験を有する専門家と国際連携体制を構築し、受動的なサイバー攻撃観測だけでなく、新たな攻撃への予測と迅速な対応を行うためのプロアクティブな観測機構の確立を目標としている。昨年度に引き続き、本年度においても、海外渡航が困難であったため、吉岡(横国大)以外は共同研究先に渡航して研究を行うことはできなかった。よって、小澤、金(神戸大)と班(NICT)は国内メンバーと共同研究を中心に実施した。本年度で得られた研究成果を以下にまとめる。
1)小澤、班、金は、「(a)ウェブ媒介型攻撃の生成過程モデル」と「(b)マルウェアによる攻撃生成過程モデル」に関する研究について、国内の研究分担者との共同研究を中心に実施した。具体的には、(a)について、悪性JavaScirpt検知手法とフィッシングサイトの生成過程に関する研究を進め、(b)については、感染端末からダークネットに送信される不正な通信パケットの情報に基づき、サードパーティのセキュリティ情報検索サービスとコネクトバックを活用したアクティブな端末情報の取得を組み合わせる手法を提案した。また、フィッシング攻撃で模倣されるブランド・ロゴ画像の検知を回避する敵対的サンプル攻撃についても検討した。
2)吉岡は、デルフト工科大学Michel van Eeten教授と「(c)DoS攻撃の生成過程モデル」に関する共同研究を推進し、ハニーポットやサンドボックス動的解析を使ったマルウェア挙動の観測、攻撃者コミュニティが構築するサイバー攻撃エコシステムの分業の仕組みや最新攻撃情報に加えて、ターゲットの情報資産価値や攻撃の費用対効果などの経済的側面も考慮した攻撃生成過程の研究を実施した。
|
| 現在までの達成度 |
現在までの達成度
3: やや遅れている
理由
本年度においても、新型コロナ感染症の状況が改善せず、海外共同研究者を訪問して行う直接的な共同研究は限定的となった。よって、本研究の当初計画からはやや遅れ気味である。研究の進捗状況は以下のとおりである。
1)小澤、班、金は、「(a)ウェブ媒介型攻撃の生成過程モデル」と「(b)マルウェアによる攻撃生成過程モデル」の研究について、国内の研究分担者との共同研究を中心に実施した。「ウェブ媒介型攻撃の生成過程モデル」の研究成果としては、ASTツリーに基づいた構造特徴による悪性JavaScript検知に関するジャーナル論文1件が掲載されており、おおむね順調に進められている。一方、「マルウェアによる攻撃生成過程モデル」については、サイバー攻撃を観測するハニーポットの運用や収集マルウェアの挙動分析に関して優れた実績をもつUNBのGhorbani教授との共同研究が進んでいないため、現時点では、ダークネットセンサーを用いたマルウェア活動観測に限定した研究成果が得られている。
2)吉岡は、デルフト工科大学Michel van Eeten教授との共同研究を推進し、同教授の来日時にはワークショップや集中的な共同研究を実施した。ワークショップには、小澤、金(神戸大)と研究協力者の山田(KDDI総合研究所、2022年9月1日より神戸大学)も出席して研究進捗報告を行った。また、吉岡はデルフト工科大学を訪問し、van Eeten教授の研究チームとワークショップを実施し、順調に研究を進めている。
|
| 今後の研究の推進方策 |
次年度においては、新型コロナ感染症で滞っていた国際交流の状況が劇的に改善すると期待され、これまでの研究の遅れを取り戻すため、以下の方針で研究を進める。
(a)ウェブ媒介型攻撃の生成過程モデル:Web媒介型攻撃につながる悪性サイトの生成過程として、悪性JavaScriptの検知とプログラム・ソースコードの脆弱性判定の研究をUNBのAli Ghorbani教授と連携して進める。これによって得られた知見を活かし、攻撃コードのトレンドと脆弱性との関連性を調査するとともに、サンドボックス動的解析などで得られる攻撃挙動との突合解析を行い、攻撃生成過程の詳細分析に活用する。
(b)マルウェアによる攻撃生成過程モデル:マルウェアは多様な機器を攻撃対象とするため、攻撃の前段階で広範囲に脆弱性探索を行う。感染後は大量の通信を行い、サービス妨害攻撃やランサム攻撃、制御機器の管理権限取得といった典型的な攻撃挙動が存在する。これら攻撃に共通した特徴に着目して攻撃生成過程をモデル化するため、UNBのGhorbani教授と連携し、サイバー攻撃を観測するハニーポットの運用や収集マルウェアの挙動分析を進める。
(c)DoS攻撃の生成過程モデル:サイバー攻撃エコシステムの分析を行うための攻撃者の活動観測を行う手法をCISPAのChristian Rossow教授やTU DelftのVan Eeten教授と引き続き議論し、データの収集を開始する。具体的には、ダークウェブやテレグラムといった様々なコミュニケーション手段を用いた攻撃者の活動を調査し、サイバー攻撃ビジネスの実態を把握することで、エコシステム全体の把握を目指す。
|
| 次年度使用額が生じた理由 |
2022年度において、新型コロナ感染症の状況に改善の兆しがみられたものの、日本国内では、国際連携が依然として困難な状況にあった。このため、海外渡航に要する費用を2022年度に使用できなかった。次年度においては、海外渡航が可能になると期待されるため、共同研究先に滞在する期間を可能な限り長期に設定して、やや遅れ気味である研究を進めて行く。
|
