著者

松木 隆宏 新井 悠 寺田 真敏 土居 範久

雑誌

情報処理学会論文誌 (ISSN:18827764)

巻号頁・発行日

vol.50, no.9, pp.2118-2126, 2009-09-15

---

近年,ウイルス対策ソフトウェアによる検知やパターンファイルの作成に必要となる解析を妨害する機能を有したマルウェアが出現している.特に,ボットの場合にはC&C(コマンド&コントロール)サーバの情報や指令コマンド等の解析作業を妨害するため,解析作業の兆候を検知した場合に,自己の動作を意図的に停止するマルウェアの存在も報告されている.このような耐解析機能は,ウイルス対策ベンダやセキュリティ研究者らによるマルウェアの解析時間を増加させ,結果としてマルウェアによるユーザの被害の拡大につながってしまうことになる.本論文では,耐解析機能を備えたマルウェアによるユーザの被害を低減させることを目的とした新しい対策アプローチを提案する.提案方式は,マルウェアの耐解析機能が動作した際に自己の動作を停止する性質に着目し,これを逆用してマルウェアの動作を抑止する方式である.まず,提案方式の実現例として,耐解析機能の1つであるデバッガ検知機能を逆用し,マルウェアの活動を抑止する手法を示す.次に,デバッガ検知機能を逆用するプロトタイプシステムを実装し,ハニーポットで収集したマルウェア検体を用いた評価を通じて,提案方式の有効性を示す.

著者

寺田 真敏

出版者

国立研究開発法人 科学技術振興機構

雑誌

情報管理 (ISSN:00217298)

巻号頁・発行日

vol.59, no.2, pp.96-104, 2016-05-01 (Released:2016-05-01)

参考文献数

5

---

Webページ改ざん,DoS攻撃,標的型攻撃,日々新しいサイバーセキュリティーの専門用語が生み出されている。本稿では,CSIRT(シーサート)という専門用語を読み解いていきたい。CSIRTは,Computer Security Incident Response Teamの略である。また,シーサートは,コンピューターセキュリティーインシデント対応能力を組織化することであり,シーサート活動には,組織のセキュリティー文化が反映されている。この専門用語の中には,インシデント,インシデント対応,コンピューターセキュリティーインシデントレスポンスチームというキーワードが隠れている。

著者

寺田 真敏 宮崎 聡 服部 泰明 川飛 達夫 神山 真一

雑誌

全国大会講演論文集

巻号頁・発行日

vol.37, pp.588-589, 1988-09-12

---

日立製作所では、OSI(Open Systems Interconnection)の第1層(物理層)から第7層(アプリケーション層)の全層に渡り製品開発を推進している。このうちOSI第1層から第4層(トランスポート層)をMシリーズホスト計算機及び通信制御処理装置(CCP:Communication Contorl Processor)上で実現する通信管理プログラムがXNF(Extended HNA based Communication Networking Facility)である。XNFは従来HNAにOSIを取り込んだ拡張HNAの思想に基づいて開発されており、現行の通信管理の後継としての位置付けと役割とを持っている。本稿ではXNF開発の背景、基本仕様ついて報告する。

著者

寺田 真敏 永井 康彦 倉田 盛彦

出版者

一般社団法人情報処理学会

雑誌

情報処理学会研究報告. CSEC, [コンピュータセキュリティ] (ISSN:09196072)

巻号頁・発行日

vol.2002, no.68, pp.89-96, 2002-07-18

参考文献数

4

---

マルウェアの流布を含む不正アクセス活動は活発化しており、また、その被害も広範囲かつ多岐に渡るようになってきている。特に情報システムがWebサービス主体に構成されているイントラネットにおいては、Webサービスを対象とするワームの流布に伴う影響は甚大となる。本稿では、Webサービスを対象とするワームを抑止し、Webサービスの稼動継続性を確保するWebマッパ(Webサービスポート/ホストマッピングシステム)について述べる。Webマッパの特徴は、Webサーバ上のポート切替コンポーネントがWebサービスのポート番号を代替ポート番号にシフトさせることでワームの流布を抑止し、プロキシサーバ上のポート/ホスト変換コンポーネントが代替ポート番号へのシフトに伴うURL変更を隠蔽することでWebサービスの稼動継続性を確保することにある。

著者

仲小路 博史 鬼頭哲郎 重本 倫宏 寺田 真敏 石山 智祥

出版者

情報処理学会

雑誌

情報処理学会論文誌 (ISSN:18827764)

巻号頁・発行日

vol.52, no.1, pp.2-13, 2011-01-15

---

近年のP2P型ファイル共有ソフトウェアには通信自体の秘匿性を高めるための中継機能や,通信内容を隠すためのDiffie-Hellman鍵交換や,サービスポートを通信ごとに変更する機能が備わり,従来のIDSなどを使った手法では,調査対象とする通信がP2P通信であるかどうかを特定することが困難となってきた.本論文では国内で高いシェアを持つP2P型ファイル共有ソフトウェアWinnyの発展系であり,いまだ有効な対策が確立されていないWinnypを対象に,ディープ・パケット・インスペクション方式による通信検知機能の実装と性能の評価を行う.さらに,GPGPU(CUDA)に本機能を実装することによって,現在,コンシューマ向け接続サービスの中でも最も高速な1Gbpsのフルワイヤスピードにも適用可能なWinnyp通信検知装置を実装し,1,020台のノードによって構成される実験環境を用いて有効性を示す.As recent P2P file-sharing applications employ various functions for hiding their communications such as connection replays, Diffie-Hellman key exchanges and dynamic port changes per connection, it becomes further difficult for existing IDS to detect P2P communications. This paper describes a method for detecting Winnyp communications using deep packet inspection. Winnyp is a successor of Winny, which is the most popular P2P application in Japan. To the best of our knowledge, our method is the first approach that detects Winnyp effectively. We implement this method on GPGPU (CUDA). Evaluation experiments using 1,020 Winnyp nodes demonstrate that this method can handle with traffic at 1Gbps, which is equal to the fastest available Internet access speed for consumers.

著者

寺田 真敏

雑誌

情報処理

巻号頁・発行日

vol.54, no.5, pp.428-435, 2013-04-15

---

DoS/DDoS攻撃は,インターネット上でWebサービスやメールサービス等を提供しているサーバ等に対して過剰な負荷を与えたり,脆弱性を悪用したりすることによって,サービスの運用や提供を妨げる行為である.「DoS/DDoS攻撃とは?」では,本DoS攻撃特集を読み進める上で役立つ,DoS攻撃の関連用語を解説するとともに,DoS攻撃の歴史について概観する.

著者

寺田 真敏

雑誌

情報処理

巻号頁・発行日

vol.54, no.5, pp.426-427, 2013-04-15

著者

上井 恭輔 寺田 真敏 趙 晋輝

雑誌

研究報告コンピュータセキュリティ(CSEC)

巻号頁・発行日

vol.2011-CSEC-52, no.52, pp.1-6, 2011-03-03

---

本稿では,ファイル構造が類似するファイルの情報提供を目的としたマルウェア情報提供システムを提案する.提案システムはファイル内容の比較を行えるファジーハッシュのひとつである ssdeep を用いることで,入力された ssdeep の値に対して,ファイル構造が同じファイルだけでなく,構造が類似するファイル一覧を出力する.出力されたファイル一覧は,検査対象のファイルがマルウェアであるかどうかの目安としたり,新種や亜種のマルウェア解析に役立てたりすることができる.

著者

松木 隆宏 新井 悠 寺田 真敏 土居 範久

出版者

情報処理学会

雑誌

情報処理学会論文誌 (ISSN:18827764)

巻号頁・発行日

vol.52, no.9, pp.2748-2760, 2011-09-15

---

マルウェアは金銭の詐取を狙うサイバー犯罪の道具として使われている.最近では,利便性の高いWebサービスが数多く出現する陰で,Webを介して感染するWebマルウェアの被害が増加している.その感染拡大の手口は,Web改ざんとDrive-by Downloadにより複雑化している.攻撃は,感染源となるサイト,脆弱性攻撃コード,そして,感染するマルウェアという複数の要素によって構成されており,それらがめまぐるしい変化と多様化を続けている.Webマルウェアへの対策として,感染源サイトのデータベースや攻撃コードの解析技術がWebに公開されている.しかし,それらは部分的な情報であったり,分散した状態であったりするため,対策に十分に活用されているとはいえない.本論文では,Webマルウェアへの対策推進を目的として,Web上に分散しているURLブラックリストなどのセキュリティ情報データベースや攻撃コード,検体解析ツールとクライアントハニーポットを連動させることをマッシュアップと定義し,これによってマルウェア対策に有用な情報を結合する手法を提案する.そして,試作システムを用いて得られたWebマルウェアの調査結果を通して,マッシュアップによる調査手法の有用性を示す.さらに,攻撃サイトのアクセス制御を逆用して感染を回避する手法を示す.Over recent years, malware has become `tool' for cybercrime such as money fraud. The number of damages created by Web-based malware has been increasing under the shadow of convenient Web services. Its infection methods have become more complex and varied by Web defacement and Drive-by Download. The Web-based attacks consist of several elements; landing sites, exploit codes and malwares. Additionally, they continue rapid diversifying and changing. Some useful information and analysis technologies are published on the Web. However, they are not completely utilized enough for countermeasures, because they are dispersed around the Internet. In this paper, we will mashup the data from disparate sources such as honeypot, databases and analysis technologies from the Web. Furthermore, we will provide recommended system which integrates and analyzes dispersed information. All phases of this report were conducted with the objectives of fastest and most accurate solution to deal with Web-based malware. Then, we will report an investigation result of mashup system of Web-based malware, and its usefulness. Also, we will introduce methods of taking advantage of attacker's Website access control, in order to extend the range of countermeasures.

著者

上井 恭輔 寺田 真敏 趙 晋輝

出版者

情報処理学会

雑誌

研究報告マルチメディア通信と分散処理(DPS) (ISSN:21862583)

巻号頁・発行日

vol.2011, no.52, pp.1-6, 2011-03-03

---

本稿では,ファイル構造が類似するファイルの情報提供を目的としたマルウェア情報提供システムを提案する.提案システムはファイル内容の比較を行えるファジーハッシュのひとつである ssdeep を用いることで,入力された ssdeep の値に対して,ファイル構造が同じファイルだけでなく,構造が類似するファイル一覧を出力する.出力されたファイル一覧は,検査対象のファイルがマルウェアであるかどうかの目安としたり,新種や亜種のマルウェア解析に役立てたりすることができる.In this paper, we propose Malware Information Support System for preventing leakage of privacy information in the file for analyzed and supplying other file information whose structure is similar to the file's structure for analysis. This system use ssdeep for comparison of file content, prevent file information using similarity of file structure with ssdeep value user sent. A user can make use of the file information to know whether the file is malware. Also, security researcher can make good use of that for analysis of unknown malware.

著者

仲小路 博史 鬼頭哲郎 重本 倫宏 寺田 真敏 石山 智祥

雑誌

情報処理学会論文誌 (ISSN:18827764)

巻号頁・発行日

vol.52, no.1, pp.2-13, 2011-01-15

---

近年のP2P型ファイル共有ソフトウェアには通信自体の秘匿性を高めるための中継機能や,通信内容を隠すためのDiffie-Hellman鍵交換や,サービスポートを通信ごとに変更する機能が備わり,従来のIDSなどを使った手法では,調査対象とする通信がP2P通信であるかどうかを特定することが困難となってきた.本論文では国内で高いシェアを持つP2P型ファイル共有ソフトウェアWinnyの発展系であり,いまだ有効な対策が確立されていないWinnypを対象に,ディープ・パケット・インスペクション方式による通信検知機能の実装と性能の評価を行う.さらに,GPGPU(CUDA)に本機能を実装することによって,現在,コンシューマ向け接続サービスの中でも最も高速な1Gbpsのフルワイヤスピードにも適用可能なWinnyp通信検知装置を実装し,1,020台のノードによって構成される実験環境を用いて有効性を示す.

著者

松木 隆宏 松岡 正明 寺田 真敏 鬼頭哲郎 仲小路 博史

出版者

一般社団法人情報処理学会

雑誌

情報処理学会研究報告コンピュータセキュリティ(CSEC) (ISSN:09196072)

巻号頁・発行日

vol.2008, no.71, pp.323-328, 2008-07-17

被引用文献数

1

---

近年,P2P ファイル交換ソフトウェア環境を悪用したマルウェアなどにより,個人あるいは組織の機密情報が流出する事象が続発し,社会へ悪影響を与えている.本稿では,P2P ファイル交換ソフトウェア環境において,マルウェアによる感染ノードの活動や利用者の誤った操作によって,ノードから機密情報が流出する問題に対し,意図しないファイルの流出を検出した場合にホストが送信するパケットに符号を付与し,不正な活動をしていることを近傍ネットワークに広報する機能を提案する.また,提案方式を実装したプロトタイプシステムについて報告する.Recently, there are many problems regarding the P2P file exchange environment on the Internet. The need to reconsider the current P2P file exchange environment for information leak. In this paper, we propose notification function of illegal activities of host. That is a part of the Information part of Sharing Architecture for P2P File Exchange Environment we showed. And we show prototype system.

著者

中村 元彦 寺田 真敏 千葉 雄司 土居 範久

出版者

一般社団法人情報処理学会

雑誌

情報処理学会研究報告マルチメディア通信と分散処理(DPS) (ISSN:09196072)

巻号頁・発行日

vol.2006, no.26, pp.13-18, 2006-03-16

被引用文献数

2

---

今日,インターネットを利用したオンラインサービスの個人情報を詐取するPhishingの被害が深刻化している.しかし,ブラウザのアドオンツールバーを利用する既存の対策手法は,ブラックリスト基づきPhishingサイトの判断をしているため,ブラックリストに無いPhishingサイトを検出できないという課題がある.そこで本稿では,proxyを利用してHTTPリクエストの内容を解析し,Webサイトの存続期間が短いなどといったPhishingサイトにみられる特徴的な傾向を捉えることにより,Phishingサイトを検出する手法を提案する.そして,プロトタイプシステムを使い,実際にPhishingサイトへアクセスを行なった評価結果から,提案手法の有効性を示す. Phishing is a type of deception designed to steal your personal data and damage by it is reported to have spread over these years. Some preventive measure has been proposed but their effect is not satisfactory. Because most of them cannot detect Phishing sites they does not know as they find Phishing sites based on blacklist. To solve this problem, we propose a method to detect unknown phishing sites by watching HTTP request using proxy to detect the characteristics of the Phishing sites (short continuation period, and so on) to warn the HTTP client how suspicious the target site is. We evaluated effectiveness of the proposed method by using the prototype system we have implemented.

著者

重本 倫宏 大河内 一弥 寺田 真敏

出版者

一般社団法人情報処理学会

雑誌

情報処理学会研究報告コンピュータセキュリティ(CSEC) (ISSN:09196072)

巻号頁・発行日

vol.2008, no.71, pp.329-334, 2008-07-17

被引用文献数

1

---

近年,Winny Share 等の P2P ファイル交換ソフトによる情報漏洩の多発や, P2P 通信によるトラヒックの圧迫が大きな問題となっている.このような問題を解決するためには,ネットワーク上の P2P 端末を検知することが重要な課題となる.本稿では,コネクションを解析することにより. P2P ファイル交換ソフトの種別によらず, P2P 通信を行っている端末を検知する方式を提案する.さらに,実環境を用いた実験を行い,提案手法が有効に動作する条件について考察する.Recently, increasing number of information leaks by viruses in the P2P network are becoming big problem. And P2P file sharing also accounts for an astonishing volume of current Internet traffic. Therefore, this research aims to detect terminals of P2P file sharing application from Internet traffic. In this paper, we propose a P2P Node Detection method based on two types of Connection Analysis: "Established connection ratio" and "Distributed port ratio". In addition, we also giveexperiments for finding suitable threshold of the proposed method.