著者
三村 守 大坪 雄平 田中 秀磨 後藤 厚宏
雑誌
コンピュータセキュリティシンポジウム2017論文集
巻号頁・発行日
vol.2017, no.2, 2017-10-16

「目grep」とは,バイナリファイルから人間の目で文字列を検索するGREPコマンドをエミュレートするスキルである.本稿では,畳み込みニューラルネットワークを用いて「目grep」を再現し,未知の悪性文書ファイルを検知するいくつかの手法を提案する.畳み込みニューラルネットワークは,画像認識の分野において革新的であり,従来のモデルよりも顕著な成果を挙げている.さらに,実際の悪性文書ファイルからデータセットを作成し,Precision,RecallおよびF値を算出して提案手法を評価した.その結果,悪性文書ファイルから「目grep」によってシェルコードを発見できる可能性があることを確認した.
著者
大坪 雄平 三村 守 田中 英彦
雑誌
情報処理学会論文誌 (ISSN:18827764)
巻号頁・発行日
vol.55, no.5, pp.1530-1540, 2014-05-15

今日,標的型攻撃は増加傾向にあり,多くの組織にとって真の脅威となってきている.標的型攻撃には様々な手法があるが,受信者の興味を引くメールにマルウェアを添付する方式が最も一般的である.攻撃を秘匿するため,実行ファイルが文書ファイルに埋め込まれた場合,一般に,受信者には通常の文書ファイルと区別する手段がない.我々が実行ファイルが埋め込まれた悪性MS文書ファイル(Rich TextまたはCompound File Binary)を分析したところ,多くの悪性MS文書ファイルで通常のMS文書ファイルとファイル構造に違いがあることが分かった.本論文では,悪性MS文書ファイルの検知手法として,幾種かのファイル構造検査をすることを提案する.提案手法の有効性を検証する実験を行った結果,98.5%の悪性MS文書ファイルを検知することができた.ファイル構造は攻撃者の意志で変更させることが困難であることから,提案するRich TextおよびCFB形式の悪性文書ファイルの検知手法は長期にわたり有効である.
著者
三村 守 大坪 雄平 田中 英彦
雑誌
情報処理学会論文誌 (ISSN:18827764)
巻号頁・発行日
vol.55, no.2, pp.1089-1099, 2014-02-15

今日,機密情報や個人情報の搾取を目的とする標的型攻撃は,多くの組織にとって脅威である.標的型攻撃の初期段階では,攻撃者はRAT(Remote Access TrojanまたはRemote Administration Tool)と呼ばれる実行ファイルをメールで送付し,コンピュータの遠隔操作を試みることが多い.近年ではRATが文書ファイルに埋め込まれることが多くなっており,検知はより困難となってきている.よって,標的型攻撃を防ぐためには,悪性文書ファイルに埋め込まれたRATを検知する必要がある.本論文では,RATがどのように悪性文書ファイルに埋め込まれているのかを調査し,その方式を体系化する.さらに,悪性文書ファイルへのRATの埋め込み方式を解読し,RATを検知する手法を提案するとともに,実験により提案手法の有効性を定量的に示す.
著者
三村 守 田中 英彦
雑誌
情報処理学会論文誌 (ISSN:18827764)
巻号頁・発行日
vol.54, no.12, pp.2461-2471, 2013-12-15

機密情報や個人情報の搾取を目的とする標的型攻撃は多くの組織にとって脅威である.近年の標的型攻撃では,すでにマルウェアに感染した端末が踏み台にされ,情報の送信先は刻々と変化するため,真の攻撃者を識別することは困難となっている.攻撃者を識別するためには,複数の標的型攻撃のパラメータの共通性を分析し,攻撃者ごとに分類する必要がある.しかしながら,どのパラメータが最も攻撃者の特徴を示しているかは明確ではないため,攻撃者ごとに分類するのは容易ではない.この論文では,複数の標的型攻撃に関するパラメータを数値化し,概略の傾向を主成分分析で調査する.次に,因子分析により標的型攻撃を説明する要因を明らかにし,攻撃者と相関が高いパラメータを抽出する.さらに,因子負荷量からパラメータの優先度を決定し,クラスタ分析で複数の標的型攻撃を攻撃者ごとに分類する.
著者
大坪雄平 三村守 田中英彦
出版者
一般社団法人情報処理学会
雑誌
研究報告インターネットと運用技術(IOT) (ISSN:09196072)
巻号頁・発行日
vol.2013, no.16, pp.1-6, 2013-07-25

今日,標的型攻撃は増加傾向にあり,多くの組織にとって真の脅威となってきている.標的型攻撃には様々な手法があるが,受信者の興味を引くメールにマルウェアを添付する方式が最も一般的である.攻撃を秘匿するため,マルウェアが文書ファイルに埋め込まれた場合,一般に,受信者にはマルウェアを見抜く手段がない.われわれが実行ファイル形式のマルウェアが埋め込まれた悪性 MS 文書ファイル (Rich Text または Compound File Binary) を分析したところ,多くの悪性 MS 文書ファイルで通常の MS 文書ファイルとファイル構造に違いがあることが分かった.本論文では,悪性 MS 文書ファイルの検知手法として,ファイル構造検査をすることを提案する.具体的には,5 種類の新しいマルウェア検知法を提案する.提案の有効性を検証する実験を行った結果,98.4% の悪性 MS 文書ファイルを検知することができた.Today, the number of targeted attacks is increasing, and targeted attacks are becoming a serious threat for many organizations. There are various kinds of targeted attacks. Above all, a method to attach malware to interesting e-mail for the recipient is the most popular. In general, there is no way to distinguish a malicious document file from a normal one, because malware is embedded in a document file to hide oneself during an attack. We analyzed malicious MS document (Rich Text or Compound File Binary) files containing malware. Then, we found that there are differences in file structure between normal MS document files and malicious ones. In this paper, we propose detection methods of malicious MS document files using file structure inspection. Specifically, we propose five novel malware detection methods. The experimental result shows the effectiveness of the methods. The methods could detect 98.4% of the malicious MS document files in the experiment.
著者
三村 守
雑誌
研究報告インターネットと運用技術(IOT)
巻号頁・発行日
vol.2009-IOT-6, no.3, pp.1-6, 2009-06-20

LAN を構成するホストの脆弱性は,OS (Operating System) やアプリケーションに密接に関係している.LAN 内部で稼動する OS,アプリケーションの種類やバージョンに関する情報が外部に漏洩すれば,その情報によって LAN 内部で稼動するホストの脆弱性が悪意ある第三者に知られる可能性がある.既存の暗号通信では通信内容を秘匿することはできるが,OS,アプリケーションの種類等のサイドチャネル情報を秘匿することはあまり考慮されていない.本稿では,トラフィック分析技術を悪意ある第三者が利用した場合に何が脅威となるかについて述べ,ネットワークにおけるサイドチャネル解析への対策を実装手法も含めて検討する.そして,脆弱性を悪意ある第三者に知られないことを目的とする SCTP を用いたサイドチャネル解析対策を提案する.さらに,サイドチャネル解析対策を施した VPN アプリケーションを試作し,検証実験により性能を評価する.