- 著者
-
落合 淳
嶋村 誠
河野 健二
- 出版者
- 情報処理学会
- 雑誌
- 研究報告システムソフトウェアと オペレーティング・システム(OS) (ISSN:09196072)
- 巻号頁・発行日
- vol.2009, no.8, pp.1-8, 2009-07-29
現在,ユーザの個人情報を不正に収集するスパイウェアを検出する手法としてTaint Analysis が注目されている.Taint Analysis では,パスワードなどのデータに taint と呼ばれる情報を付加し,taint 情報を持つデータが操作されたときに伝播規則に基づいて taint 情報を伝播する.そして,taint 情報を含むデータが外部に流出した場合にスパイウェアとして検出する.既存のスパイウェアは Taint Analysis を回避していない.そのため,Taint Analysis はスパイウェアが回避手法を用いた場合を考慮していない.本論文では,Taint Analysis の回避手法への耐性を向上させるため,既存の Taint Analysis に対する回避手法を示し,taint 情報の伝播規則の問題点を指摘する.回避手法を検証するため,一般的な伝播規則を用いた Taint Analysis を実装し実験を行った.実験の結果,回避コードを組み込むことで,Taint Analysis による検出ができなくなることを確認した.これにより,taint 情報の伝播規則を改良する必要があることを示した.<i>Taint analysis</i> is a promising approach to detecting malicious behavior of a leaking users' sensitive data. In taint analysis, we label data as <i>tainted</i> such as password. When a program processes tainted data, we propagate taint attribute in the program, based on a given taint propagation rule. If tainted data is output to untrusted sources, we can recognize that the computer system is compromised. Evasion techniques to taint analysis have not been explored adequately. This means that taint propagation rules are not studied as well. To make taint analysis more powerful, we study current tainting rules and point out the weakness of the rules by using our evasion techniques. We implemented a taint tracker with the well-used propagation rule. Our experimental results demonstrate that the well-used taint propagation rule does not detect the data leak of test programs including our evasion techniques.