著者

吉岡 克成

雑誌

情報処理

巻号頁・発行日

vol.53, no.1, pp.68-70, 2011-12-15

著者

藤田 彬 江澤 優太 田宮 和樹 中山 颯 鉄 頴 吉岡 克成 松本 勉

雑誌

情報処理学会論文誌 (ISSN:18827764)

巻号頁・発行日

vol.61, no.3, pp.695-706, 2020-03-15

---

IoT機器には機器の管理や操作のためのWebUIを持ちインターネットに接続可能な機器が多数存在する.それらの機器のなかには,脆弱性や認証の問題を抱えたままインターネット上に公開されているものが存在する.本研究ではIoT機器の実機を用いることでハニーポットを構築し,WebUIに対する攻撃の観測を行う.観測結果にはWebサイト公開用の通常のWebサーバに対する攻撃も観測されるため,観測対象機器向けの攻撃を判別する指標を示す.次に,自動化されている攻撃の特徴を示し,IoT機器向けの攻撃を分析する手法を提案する.提案手法をもとに検証実験を行い,特定のIoT機器向けの攻撃が自動化されている実態を示す.

著者

角丸 貴洋 島 成佳 吉岡 克成

雑誌

コンピュータセキュリティシンポジウム2014論文集

巻号頁・発行日

vol.2014, no.2, pp.735-742, 2014-10-15

---

近年,サイバー攻撃は巧妙化,多様化しており,組織内ネットワークへの侵入を完全に防ぐことが困難な状況となっている.筆者らは,このような標的型攻撃に対する防御手法として縦深防御を提案している.縦深防御は,サイバーキルチェーンの各攻撃ステップで,様々な欺瞞を仕掛け攻撃目標達成までの攻撃コストを上げる戦略である.標的型攻撃では,感染により標的組織内部のネットワークにいったん侵入すると,内部の他の標的ホストに対して感染の拡大を試みる.本論文では,管理共有を悪用した内部攻撃に対して,標的ホストの特定を困難にさせる欺瞞方式を提案し,提案方式について考察する.

著者

吉田 直樹 吉岡 克成 松本 勉

雑誌

コンピュータセキュリティシンポジウム2012論文集

巻号頁・発行日

vol.2012, no.3, pp.669-676, 2012-10-23

---

耐タンパーソフトウェアの構成法として自己書換えを用いた方法が知られている.組込みシステム向けの一部のマイコンでは,機械語プログラムを書換える方法が適用できない場合があり,そのような場合においても有効となる方法にニーズがあると考えられる.本稿では,データメモリに可変な中間コードとして振舞うデータ部を格納し,命令メモリにそれを実行するインタプリタ部を格納する2部構成の耐タンパーソフトウェアの作成方法を提案する.この方法は,命令メモリを書換えられないマイコンに適用できるだけでなく,命令メモリ内の機械語プログラムを自己書換えする方法に比べて一般的に高速な実行が可能であるという特徴を有する.

著者

畑 正人 田邉 正人 吉岡 克成 大石 和臣 松本 勉

雑誌

コンピュータセキュリティシンポジウム2011 論文集

巻号頁・発行日

vol.2011, no.3, pp.624-629, 2011-10-12

---

現代の自動車は,CAN(Controller Area Network)に代表される車載ネットワークを導入している.しかし,CANプロトコルには暗号化や認証などのセキュリティ機能がなく,盗聴やなりすましなどが容易にできてしまう可能性がある.本論文では,不正にCAN-IDが使用されることを検知し,挿入されたメッセージがバス上に流れきる前に破棄する“不正送信阻止方式”を提案する.この方式の特徴は,攻撃者からのメッセージの挿入を検知するだけでなく,送信自体を防ぐことができる点である.また,受信側ECUに変更を加える必要がなく,十分な即時応答性が見込まれるため,車載ネットワークへの導入が期待できる.

著者

新井 悠 吉岡 克成 松本 勉

雑誌

コンピュータセキュリティシンポジウム2019論文集

巻号頁・発行日

no.2019, pp.482-487, 2019-10-14

著者

中山 颯 鉄 穎 楊 笛 田宮 和樹 吉岡 克成 松本 勉

雑誌

情報処理学会論文誌 (ISSN:18827764)

巻号頁・発行日

vol.58, no.9, pp.1399-1409, 2017-09-15

---

IoT機器の中にはTelnetサービスが動作し,容易に推測可能なIDとパスワードでログインができるものが大量に存在しており,この状況を悪用したサイバー攻撃が多数観測されている.本研究ではTelnetを利用したサイバー攻撃において,特にログインチャレンジとログイン成功後に使用されるシェルコマンド系列に着目した分析を行う.特にハニーポットにより観測される攻撃とハニーポットにより収集したマルウェアの動的解析により観測される攻撃を突合することで,攻撃元のマルウェアの識別を行い,マルウェア流行の状況把握を試みる.また,攻撃に利用されるID/パスワードを調べることで攻撃目標となっている機器の種類が増加傾向にあることを示す.

著者

新井 悠 吉岡 克成 松本 勉

雑誌

情報処理学会論文誌 (ISSN:18827764)

巻号頁・発行日

vol.61, no.9, pp.1388-1396, 2020-09-15

---

近年,様々な違法物品ならびにサービスが,ダークウェブ上に構築された仮想取引所などで取引されている.これを利用することにより誰でもそれらの違法物品を手に入れることが可能になってきている.研究者らがダークウェブをクローリングすることで,こうした違法物品取扱サイトの状況などを確認する試みも行われてきている.他方で,ダークウェブ内の違法取引所の自動検出に焦点を置いた研究は少ない.本研究ではダークウェブ上に構築されているこれらの秘匿サービスのクローリングを行い,データを収集した.そのうえで,隠語の変化などに左右されない,HTTPヘッダを特徴量にする手法で,かかる違法物品取扱サイトを自動検出する手法を案出した.

著者

森下 瞬 上野 航 田辺 瑠偉 カルロス ガニャン ミシェル ファン イートゥン 吉岡 克成 松本 勉

雑誌

情報処理学会論文誌 (ISSN:18827764)

巻号頁・発行日

vol.61, no.9, pp.1397-1413, 2020-09-15

---

インターネット上で発生している攻撃を観測するために,オープンソースハニーポットの研究や運用が行われている.しかし,オープンソースハニーポットの特徴は攻撃者によって検知可能であり,回避される可能性がある.本研究では,あらかじめ作成した20種類のハニーポット検知用のシグネチャを用いて,攻撃者が容易に検知可能なバナー等の応答をカスタマイズしていない14種類のオープンソースハニーポットの利用状況を調査する.そして,現状の運用者のハニーポット検知に対する問題意識を把握し,注意喚起により検知への対策を促進することを目指す.評価実験の結果,637のAS上で運用される19,208のハニーポットが容易に検知可能な状態で運用されていることが判明した.多くが研究機関のネットワークで運用されていたが,企業やクラウドでも運用されていた.そのうちのあるハニーポット群は著名なセキュリティセンタで実運用されていることが判明した.このうち,11組織のハニーポット運用者に連絡をとったが,4つの組織からしか返答が得られなかったことから,ネットワークやハニーポットの管理に十分な注意が払われていない可能性がある.加えて,ある国立研究機関のネットワークの運用者は,ハニーポット検知の問題を認識していなかった.また,いくつかのハニーポットが攻撃者によって,マルウェアの配布に悪用されている事例を発見した.検知されたハニーポットの運用者に通知を行い,シグネチャベースの検知を回避するためのカスタマイズを推奨した.同様に,ハニーポットの開発者に対しても通知を行い,本研究成果を共有した.そのうちの開発者の1人は我々の開示を考慮し,ハニーポットのリポジトリにカスタマイズの記述を追加した.このように,本研究はハニーポットの適切な運用に貢献できたと考える.

著者

金井 文宏 庄田 祐樹 橋田 啓佑 吉岡 克成 松本 勉

雑誌

情報処理学会論文誌 (ISSN:18827764)

巻号頁・発行日

vol.56, no.12, pp.2275-2288, 2015-12-15

---

スマートフォン向けOSとしてAndroidが広く用いられている一方で,それを狙ったマルウェアの数も増加している.Androidマルウェアの中には,リパッケージと呼ばれる手法を用いて,正規アプリの中に悪性コードを追加することで作成されたものが多く存在する.攻撃者がリパッケージマルウェアを大量に作成する際には,リパッケージ処理の自動化が必須であると考えられるが,自動リパッケージの実態や対策については,十分な調査・検討が行われていない.そこで我々は,既存の正規アプリが自動リパッケージに対して,どの程度の耐性を有するかを検証する.まず,実際のリパッケージマルウェアの解析を行うことで,リパッケージの方法を特定し,自動リパッケージを再現するスクリプトを作成する.次に,このスクリプトによって,複数の正規アプリに対して,外部と通信を行う機能だけを持つ検証用コードを挿入する.作成したリパッケージ済みアプリを動的解析して,挿入した検証用コードが正常に動作するかどうかを検証する.その結果,自動リパッケージの手法により成功率に差がみられるものの,評価対象としたアプリの7~9割において,挿入した検証用コードが正常に動作し,なおかつ起動時の動作が変化しないことを示す.さらに,ユーザによるインストール数が5,000万件を超える33種類のアプリにおいて,アプリの持つ基本的な機能がリパッケージ後にも保持されるかを確認し,87.9%にあたる29種類のアプリにおいて機能が保持されていることを示す.この実験において挿入した検証用コードを,悪性のコードに変更した場合でも,同様の方法で自動リパッケージが可能であることが予想される.以上より,現状のAndroidアプリの多くは自動リパッケージへの耐性が不十分であり,耐タンパ技術などを用いたリパッケージ対策が必要であることが分かる.

著者

金井 文宏 庄田 祐樹 吉岡 克成 松本 勉

出版者

一般社団法人情報処理学会

雑誌

研究報告コンピュータセキュリティ(CSEC) (ISSN:09196072)

巻号頁・発行日

vol.2014, no.46, pp.1-7, 2014-06-26

---

スマートフォン向け OS として Android が広く用いられている一方で,それを狙ったマルウェアの数も増加している.Android マルウェアの中には,リパッケージと呼ばれる手法を用いて,正規アプリの中に悪性コードを追加することで作成されたものが多く存在する.攻撃者がリパッケージマルウェアを大量に作成する際には,リパッケージ処理の自動化が必須であると考えられるが,自動リパッケージの実態や対策については,十分な調査・検討が行われていない.そこで我々は,既存の正規アプリが自動リパッケージに対して,どの程度の耐性を有するかを検証する.まず,実際のリパッケージマルウェアの解析を行うことで,リパッケージの方法を特定し,自動リパッケージを再現するスクリプトを作成する.次に,このスクリプトによって,複数の正規アプリに対して,外部と通信を行う機能だけを持つ検証用コードを挿入する.作成したリパッケージ済みアプリを動的解析して,挿入した検証用コードが正常に動作するかどうかを検証する.その結果,評価対象としたアプリの約 75% において,挿入した検証用コードと元の正規アプリのコードの両方が正常に動作することを示す.この実験において挿入した検証用コードを,悪性のコードに変更した場合でも,同様の方法で自動リパッケージが可能であることが予想される.以上より,現状の Android アプリの多くは自動リパッケージヘの耐性が不十分であり,耐ダンパー技術等を用いたリパッケージ対策が必要であることがわかる.Android is widely used as a smartphone OS. On the other hand, malware targeting the Android devices is increasing. Sometimes, attackers insert malicious code to benign application to create malware. It is called repackage malware. Attackers may automate the process of repackaging when they create a large amount of repackage malware. However, difficulty and cost of automated repackage have not been well-investigated. In this paper, we evaluate resistance of Android apps to automated repackaging. For reproduction of automated repackage, we insert a test code to benign apps by methods which have been used in actual repackage malware. After repackaging, we check whether the inserted code properly works or not by dynamic analysis. As a result of the experiment, we successfully insert the test code into 75% of all tested popular apps without influencing the functionalities of the original apps. As there is no technical difficulty to replace the test code to malicious code, we conclude that many Android apps are lack of resistance to automated repackage and must consider measures such as Tamper resistant software technology.

著者

笠間 貴弘 織井達憲 吉岡 克成 松本 勉

出版者

情報処理学会

雑誌

情報処理学会論文誌 (ISSN:18827764)

巻号頁・発行日

vol.52, no.9, pp.2761-2774, 2011-09-15

---

近年,任意のユーザから実行ファイルなどの検体の提出を受け付け,解析環境(サンドボックス)内で実行し,その挙動を解析して結果をユーザに提供する「公開型マルウェア動的解析システム」が人気を集めている.我々はこれまで,特別に設計された検体(デコイ)をシステムに提出することで,サンドボックスの情報を暴露させ,その情報を基にサンドボックスの検知を行う攻撃手法として「デコイ挿入攻撃」を提案し,実証実験により,サンドボックスのIPアドレスを用いた検知が実運用中の15個のシステムに対して有効であることを示している.しかし,IPアドレス以外の情報を用いた検知については未検証だった.当該脆弱性を正確に把握し適切な対策を導出するため,本稿では,まず,IPアドレスを含む16種類のサンドボックス情報に着目し,これらの情報が,取得安定性や個別性といった,サンドボックス検知に有効な性質を有しているかを実証実験により評価する.実験の結果,Windowsプロダクトキー,MACアドレス,OSインストール日時といったサンドボックス情報は,検知対策を行っていると思われる特定の例外を除いて,検知に利用できることが分かった.さらに,ネットワークを介さずに解析レポート経由でサンドボックス情報を暴露する方法も有効であり,我々のこれまでの検討では攻撃対象となりえなかった,隔離型サンドボックスも攻撃対象となりうることが確認された.このことから,公開型マルウェア動的解析システムにおいては,IPアドレス以外のサンドボックス情報による検知への対策や,解析レポート経由による暴露への対策などを含めた,総合的なデコイ挿入攻撃への対策が必要であることが分かった.Recently, the use of public Malware Sandbox Analysis Systems (public MSASs) which receive online submissions of possibly malicious files or URLs from an arbitrary user, analyze their behavior by executing or visiting them by a testing environment (i.e., a sandbox), and send analysis reports back to the user, has increased in popularity. In previous study, we have pointed out a vulnerability of public MSASs against decoy injection attack, in which an attacker detects the sandbox based on its IP address which can be obtained by submitting a decoy sample designed for this purpose. However, we did not further investigate the possibility of detection using sandbox information other than its IP address. In this paper, in order to better understand the vulnerability and develop an effective countermeasure, we evaluate 16 different kinds of characteristics in the sandbox in terms of their accessibility and uniqueness for sandbox detection. As a result of experiments with real public MSASs in operation, we found that characteristic information such as Windows' product key, MAC address, and system install time can be utilized for sandbox detection, except for particular systems which appeared to have deployed a countermeasure. Moreover, besides network-based disclosure, we show that such characteristic information of the sandbox can be disclosed via an analysis report provided to the user, which means that the decoy injection attack can be performed against the sandbox isolated from the real Internet. Thus, our study confirmed the broad applicability of the decoy injection attack and also necessity of comprehensive countermeasures.

著者

陳 悦庭 吉岡 克成 松本 勉

雑誌

コンピュータセキュリティシンポジウム2014論文集

巻号頁・発行日

vol.2014, no.2, pp.688-695, 2014-10-15

---

本稿ではアンチウイルスソフトウエアのビヘイビアベースのマルウェア検知能力を評価するための手法を提案する.提案手法では,評価対象のアンチウイルスソフトウエアをインストールした動的解析環境と,インストールしていない環境を用意する.次に,それぞれの環境において,実マルウェア検体を実行して、アンチウイルスソフトウエアの存在がマルウェア検体の挙動に対し,どのような影響を与えるかを観察する.4つのアンチウイルスソフトウエアに対して提案手法を適用した結果,ビヘイビアベースの検知能力や検知時の対応に違いが確認された.

著者

中山 颯 鉄 穎 楊 笛 田宮 和樹 吉岡 克成 松本 勉

雑誌

情報処理学会論文誌 (ISSN:18827764)

巻号頁・発行日

vol.58, no.9, pp.1399-1409, 2017-09-15

---

IoT機器の中にはTelnetサービスが動作し,容易に推測可能なIDとパスワードでログインができるものが大量に存在しており,この状況を悪用したサイバー攻撃が多数観測されている.本研究ではTelnetを利用したサイバー攻撃において,特にログインチャレンジとログイン成功後に使用されるシェルコマンド系列に着目した分析を行う.特にハニーポットにより観測される攻撃とハニーポットにより収集したマルウェアの動的解析により観測される攻撃を突合することで,攻撃元のマルウェアの識別を行い,マルウェア流行の状況把握を試みる.また,攻撃に利用されるID/パスワードを調べることで攻撃目標となっている機器の種類が増加傾向にあることを示す.

著者

齊藤 聡美 吉岡 克成 松本 勉

雑誌

コンピュータセキュリティシンポジウム2016論文集

巻号頁・発行日

vol.2016, no.2, pp.826-833, 2016-10-04 (Released:2016-11-08)

---

近年,Web アプリケーションを利用した Web サイトを対象とした攻撃事例が多数報告されている.本稿では,Web アプリケーションが稼働している複数 Web サイトに対する悪意あるリクエストを,アクセスログから抽出する手法を提案する.提案手法では,複数の Web サイトに対するアクセスログを適用対象とし,リクエスト送信元ホスト ・ 送信先 Web サイト ・ 送信先コンテンツ間の関係性を分析する.これにより,複数のWebサイトに向けて同じコンテンツを要求するリクエストの発生を抽出できる.複数 Web サイト管理者は,こうしたリクエストの発生を検証することで,悪意あるリクエストの発生を突き止めることができる. In recent years, websites are often compromised by various cyber attacks. In this paper, we propose a method for extracting requests intended compromising websites under web applications from access log. Our method analyzes relations among source hosts, destination websites and requested contents. For this relation analysis, we can extract multiple requests that shared with different websites. With verifying those requests by website security analysts, they can find out malicious requests occurrence.

著者

田辺 瑠偉 鈴木 将吾 イン ミン パパ 吉岡 克成 松本 勉

雑誌

情報処理学会論文誌 (ISSN:18827764)

巻号頁・発行日

vol.57, no.9, pp.2021-2033, 2016-09-15

---

マルウェアには,攻撃対象ホスト上のネットワークサービスの脆弱性を突いてその権限を奪取するリモートエクスプロイト攻撃や脆弱なパスワードが設定されている機器へ不正侵入を行うことで感染を拡大するものが存在し,インターネット上の重大な脅威となっている.こうしたマルウェアに感染したホストは,その脆弱性を修正しない限り感染中もさらなるリモート侵入を受ける可能性がある.一部のマルウェアは自らが侵入する際に悪用した脆弱性を感染後に修正することで他のマルウェアによる侵入を防ぐことが知られているが,マルウェア感染ホストへのリモート再侵入の可能性についてはこれまで詳しく検証されていない.そこで本稿では,実マルウェア検体を用いた動的解析実験によりマルウェア感染ホストへのリモート再侵入の可否を検証し,マルウェアに感染したホストへのリモート再侵入により感染の拡大を阻止する手法を提案する.検証実験では,ハニーポットを用いて収集したリモートエクスプロイト攻撃を行う294検体のうち,181検体においてリモート再侵入が成功した.同様に,ハニーポットを用いて収集した組み込みシステムを狙うマルウェア18検体のうち7検体においてリモート再侵入が成功した.リモート再侵入が成功したマルウェア感染ホストについては,侵入に用いたサービスや感染拡大を行っているプロセスの停止,通信の制限を行うことができた.提案手法を用いることで,保護対象ネットワーク内で発生した感染拡大活動を観測し,マルウェア感染ホストへのリモート再侵入により感染が拡大するのを阻止する,マルウェアへの早期対応を目指す.

著者

吉岡 克成 薗田 光太郎 滝澤 修 中尾 康二 松本 勉

出版者

一般社団法人電子情報通信学会

雑誌

電子情報通信学会技術研究報告. ISEC, 情報セキュリティ (ISSN:09135685)

巻号頁・発行日

vol.106, no.176, pp.197-204, 2006-07-14

被引用文献数

3

---

我々は,LZ77符号化やハフマン符号化などの可逆データ圧縮において情報を埋込む方法を既に提案している.本報告では,LZSS符号化における情報埋込方式を,データ圧縮ツールとして広く利用されているZIPに適用した,情報埋込機能付データ圧縮ツールIH-ZIPの実装と性能評価について報告する.評価の結果,圧縮率の観点からは,IH-ZIPはパラメータを調整することにより,スライド辞書法を忠実に実装したオリジナルのZIPに準ずる効率を達成できることがわかった.さらに処理速度の観点からは,高速化の工夫により,オリジナルZIPと同程度の速度を達成できた.

著者

金井 文宏 庄田 祐樹 吉岡 克成 松本 勉

雑誌

研究報告コンピュータセキュリティ(CSEC)

巻号頁・発行日

vol.2014-CSEC-66, no.46, pp.1-7, 2014-06-26

---

スマートフォン向け OS として Android が広く用いられている一方で,それを狙ったマルウェアの数も増加している.Android マルウェアの中には,リパッケージと呼ばれる手法を用いて,正規アプリの中に悪性コードを追加することで作成されたものが多く存在する.攻撃者がリパッケージマルウェアを大量に作成する際には,リパッケージ処理の自動化が必須であると考えられるが,自動リパッケージの実態や対策については,十分な調査・検討が行われていない.そこで我々は,既存の正規アプリが自動リパッケージに対して,どの程度の耐性を有するかを検証する.まず,実際のリパッケージマルウェアの解析を行うことで,リパッケージの方法を特定し,自動リパッケージを再現するスクリプトを作成する.次に,このスクリプトによって,複数の正規アプリに対して,外部と通信を行う機能だけを持つ検証用コードを挿入する.作成したリパッケージ済みアプリを動的解析して,挿入した検証用コードが正常に動作するかどうかを検証する.その結果,評価対象としたアプリの約 75% において,挿入した検証用コードと元の正規アプリのコードの両方が正常に動作することを示す.この実験において挿入した検証用コードを,悪性のコードに変更した場合でも,同様の方法で自動リパッケージが可能であることが予想される.以上より,現状の Android アプリの多くは自動リパッケージヘの耐性が不十分であり,耐ダンパー技術等を用いたリパッケージ対策が必要であることがわかる.

著者

筒見 拓也 野々垣 嘉晃 田辺 瑠偉 牧田 大佑 吉岡 克成 松本 勉

雑誌

研究報告コンピュータセキュリティ(CSEC)

巻号頁・発行日

vol.2014-CSEC-65, no.16, pp.1-6, 2014-05-15

---

近年,DNS リフレクション攻撃に代表される分散型サービス不能攻撃,通称 DRDoS 攻撃 (Distributed Reflection Denial-of-Service attack) が脅威となっている.DRDoS 攻撃は,インターネット上における様々な種類のサービスを悪用するため,攻撃の傾向を分析するためには単一のサービスでなく,複数のサービスを用いて攻撃を観測することが重要である.本稿では,DRDoS 攻撃に悪用される恐れのある複数種類のネットワークサービスを模擬するハニーポットを用意し,DRDoS 攻撃を観測する手法を提案する.

著者

細渕 嘉彦 笠間 貴弘 吉岡 克成 松本 勉

出版者

情報処理学会

雑誌

研究報告マルチメディア通信と分散処理(DPS) (ISSN:09196072)

巻号頁・発行日

vol.2010, no.38, pp.1-7, 2010-02-25

---

本稿では,マルウェアがアクセスする C&C サーバやダウンロードサーバ (以降,攻撃者サーバと呼ぶ) において,クライアント側の IP アドレスの使用頻度に基づくアクセス制御が行われていることを実際の攻撃者サーバへの接続実験により確認する.ハニーポットにより収集した 441 体のマルウェアが実際にアクセスする攻撃者サーバに対して接続実験を行った結果,使用頻度の高い IP アドレスを用いたクライアントからの接続要求に対して,一定期間アクセスをブロックするサーバの存在を確認した.このことから,インターネット接続型の動的解析では,毎回 IP アドレスを変更して解析を行うことが望ましいといえる.We carry out an experiment to investigate an access control capability of C&C servers and download servers with which malware communicate. In the experiment using 441 malware samples captured in the wild, we found two servers that indeed have a capability to block accesses from a client with a frequently used IP address. Consequently, we conclude that it is preferable to change an IP address of a sandbox when analyzing malware that communicate with such servers.