ハイパバイザの新しい応用の開拓

2012 年度 実施状況報告書

• 研究課題/領域番号: 23700032
• 研究機関: 電気通信大学
• 研究代表者: 大山 恵弘 電気通信大学, 情報理工学(系)研究科, 准教授 (10361536)
• キーワード: ハイパバイザ / 仮想マシンモニタ / オペレーティングシステム

研究概要

ハイパバイザによるメッセージ表示とセキュリティ機構に関する研究を行った．メッセージ表示に関しては，広告表示を中心に災害警報，イベント通知，仕事効率化なども視野に入れて設計と実装を進めた．成果を，ハイパバイザに関する国内の第一線の研究者が集まる研究会で発表した．広告表示への応用の全体設計，邪魔にならない形で広告を表示するためのアルゴリズム，入力と連動した広告表示方式などを構築した．本成果の技術に基づくコードは，世界中で利用されているハイパバイザであるBitVisorに取り込まれることとなり，現在Web上で配布されている．知的所有権保護のためのハイパバイザについては，成果を論文にまとめる作業を行った．ハイパバイザをセキュリティに応用する技術の重要性が近年高まっているため，セキュリティ分野への応用を開拓する研究も行った．具体的には，ハイパバイザ層でマルウェアをシグネチャマッチングにより検知する技術の一層の深化を行った．今年度の研究により，まず，ハイパバイザに組み込むマルウェアシグネチャ情報を，ハイパバイザやOSを止めることなく動的に更新できるようになった．また，ストレージのI/Oデータだけではなくメモリデータに対してもシグネチャマッチングができるようになった．本技術を利用して実際のマルウェアを検出するという実験も行い，有効性を評価した結果を論文で発表した．セキュリティ分野への応用としてはハイパバイザ層でパスワードクラッキングなどの悪意あるプログラム挙動を検出する技術の構築も進めた．現実のパスワードクラッキングソフトウェアを用いて予備実験を行い，検出ができる可能性を認識した．

現在までの達成度 (区分)

2: おおむね順調に進展している

理由

本研究課題の目的は，仮想的な計算機を提供するソフトウェアであるハイパバイザの新しい応用を開拓することであるが，おおむね順調に進展していると言える．まず，オペレーティングシステム（OS）に依存しない形で画面にメッセージを表示するという応用は，着実に技術開発が行われ，既存のハイパバイザソフトウェアに成果が取り込まれるという成果を得ている．OSのコードに含まれる知的所有権を保護するという応用についても，順調に進んでおり，成果を論文にまとめようとしている段階である．新たな分野の応用の開拓も進んでいる．セキュリティ分野では，マルウェアのシグネチャマッチングという応用をまず開拓した．既存技術ではパケットなどを解析してマルウェアを検出するアプローチや，メモリのインテグリティを検査してルートキットを検出するアプローチなどが大半であった．本研究はディスクブロックやプロセスのアドレス空間をハイパバイザがシグネチャマッチングにより検査するという斬新なものである．また，ハイパバイザ層でパスワードクラッキングソフトウェアを検出するという萌芽的な応用にも着手し始めている．一般にハイパバイザではOSに比べて取得できる情報が低レベルすぎて，プログラムの挙動が把握しずらいというsemantic gapの問題が以前より指摘されてきた．この応用の構築にあたっては，そのgapを埋めるための基本技術を構築している．実際，プログラムが用いる文字列情報を収集することにより，パスワードクラッキングの挙動を，プロセスの外からある程度把握可能であるという予備実験結果を得ている．

今後の研究の推進方策

今後は，それまでに得られた研究成果を論文にまとめる作業を中心に実施する．ただし，ハイパバイザの新しい有望な応用を提案する必要が生じた際や，これまで提案してきた技術に改良や拡張が必要となった際には，それらについても研究を行なっていく．
なお，次年度使用額が生じた理由は，2年目に行うべき成果発表や情報収集を，3年目に移動させたほうが，よりインパクトのある形で成果発表ができると判断したためである．そこで，2年目の研究費を3年目に執行するために利用することとした．現在開発途中のシステムがあるが，3年目にはそれがある程度の完成度に達すると期待できるので，その段階で成果発表をする予定である．

次年度の研究費の使用計画

前年度から未使用の額を当該年度の研究費と合わせて，情報収集や成果発表に用いる．ソフトウェアの開発状況やハイパバイザの技術動向を考慮することにより前年度に行っていなかった情報収集や成果報告を，次年度に行うことを計画している．具体的には，情報収集や成果報告のための旅費，学会参加費などに用いることを計画している．

研究成果

• [学会発表] BitVisorを用いたメッセージ表示システム (2012)
  • 著者名/発表者名: 大山 恵弘, 河崎 雄大
  • 学会等名: BitVisor Summit
  • 発表場所: 東京都
  • 年月日: 20121204-20121204
• [学会発表] BitVisorのためのマルウェアの検出機能 (2012)
  • 著者名/発表者名: 河崎 雄大, 大山 恵弘
  • 学会等名: BitVisor Summit
  • 発表場所: 東京都
  • 年月日: 20121204-20121204
• [学会発表] Hypervisor-Based Systems for Malware Detection and Prevention (2012)
  • 著者名/発表者名: Yoshihiro Oyama
  • 学会等名: NSC-JST Workshop on "Information and Communication Technology" 2012
  • 発表場所: 東京都
  • 年月日: 20121128-20121128
  • 招待講演
• [学会発表] ハイパバイザ内シグネチャマッチングによるマルウェア検出 (2012)
  • 著者名/発表者名: 大山 恵弘, 河崎 雄大
  • 学会等名: マルウェア対策研究人材育成ワークショップ2012 (MWS 2012)
  • 発表場所: 島根県松江市
  • 年月日: 20121030-20121030
• [学会発表] VMMを用いたマルウェア検出システムのためのシグネチャデータ更新機能とメモリデータ検査機能 (2012)
  • 著者名/発表者名: 河崎 雄大, 大山 恵弘
  • 学会等名: 情報処理学会2012年並列／分散／協調処理に関する『鳥取』サマー・ワークショップ（SWoPP鳥取2012）
  • 発表場所: 鳥取県鳥取市
  • 年月日: 20120801-20120801
• [学会発表] Controlling the Speed of Virtual Time for Malware Deactivation (2012)
  • 著者名/発表者名: Keisuke Okamura, Yoshihiro Oyama
  • 学会等名: The 3rd ACM SIGOPS Asia-Pacific Workshop on Systems
  • 発表場所: Seoul, Korea
  • 年月日: 20120723-20120723