著者
岩本 一樹 神薗 雅紀 津田 侑 遠峰 隆史 井上 大介 中尾 康二
雑誌
研究報告コンピュータセキュリティ(CSEC)
巻号頁・発行日
vol.2014-CSEC-65, no.13, pp.1-6, 2014-05-15

アプリケーションの脆弱性を攻撃する電子文書型マルウェアを動的に解析するためには,該当する脆弱性をもつアプリケーションを準備する必要がある.しかし脆弱性の種類を特定することは困難な場合があり,またアプリケーションが入手できない可能性もある.一方,脆弱性を攻撃した後に動作する不正なプログラム (シェルコード) は脆弱性やアプリケーションに関係なく独立して動作することが多い.そこで本研究では脆弱性の種類を特定することなく,またアプリケーションが無くても電子文書型マルウェアの動的解析が行えるようにするために,電子文書型マルウェアに含まれるシェルコードを特定して実行する方法を提案する.
著者
岩本 一樹 西田 雅太 和﨑 克己
雑誌
研究報告コンピュータセキュリティ(CSEC)
巻号頁・発行日
vol.2013-CSEC-63, no.2, pp.1-7, 2013-12-02

Android を搭載するスマートフォンの普及とともに Android のアプリも増加しており,Android の対象とするマルウェアも増加している.しかし公開されるすべてのアプリを解析者が解析することは困難なので,大量にあるアプリの中から解析者が解析するべき疑わしいアプリを絞り込む必要がある.本研究では Android アプリの制御フロー解析の結果から生成されたグラフを過去のマルウェアと比較することで,新たに公開されたアプリの中から疑わしいアプリを自動的に抽出する方法を検討する.同一の機能をもっているメソッドであっても,コンパイル環境やソースコードの機能に影響を与えないような違いによって,異なる命令列が生成される場合がある.ゆえに制御フロー解析の結果のグラフの不要なノードを削除することでグラフを縮約させ,命令列の違いに依らない特徴を抽出した.また,ノードの並び順を決めることで可能な限り隣接行列の比較だけで済むようにグラフを正規化することで,グラフの比較の高速化をはかった.結果,自動的に定義ファイルを作成し,効率よく解析するべきアプリを絞り込むことができた.
著者
岩本 一樹 西田 雅太 和﨑 克己
雑誌
研究報告コンピュータセキュリティ(CSEC)
巻号頁・発行日
vol.2013-CSEC-62, no.60, pp.1-8, 2013-07-11

大幅に増加する Android のマルウェアを効率よく検出するために,我々は Android アプリの Dalvik のバイトコードを静的解析することでマルウェアを検出する方法を提案してきた.しかし我々が提案するバイトコードの静的解析だけでは,完全に新規に作成されたマルウェアやバイトコード以外にマルウェアとしての原因がある場合,たとえばネイティブコードや HTML + CSS + JavaScript でマルウェアが作成されているときには検出できない.マルウェアの検出率を高めるためには,我々のこれまでの提案と別の方法を組み合わせて,複数の方法でマルウェアの検出を試みる 1 つのシステムを構築する必要がある.そこでバイトコードを解析せずにマルウェアを検出する方法として我々が今回提案する Android アプリを配布する Web サイトのドメインからマルウェアを特定する方法に加えて,これまでに提案されたセカンドアプリを内包するアプリを見つける方法と署名情報を利用する方法について検証を行った.検証の結果,これらの方法でマルウェアを検出できる可能性を確かめることができた.
著者
岩本 一樹 和崎 克己
出版者
一般社団法人電子情報通信学会
雑誌
電子情報通信学会技術研究報告. ICSS, 情報通信システムセキュリティ (ISSN:09135685)
巻号頁・発行日
vol.111, no.82, pp.57-62, 2011-06-09

多くのマルウェアはパッカーと呼ばれるコードを圧縮し難読化するプログラムでパックされており,そのままでは解析できない.そこでパックされたプログラムから自動的にオリジナルのコードを抽出するアンパッカーが研究されている.アンパッカーで問題となるのは,オリジナルのエントリーポイントの特定とオリジナルのコードが展開されたことを確認してアンパック作業の終了を決定することである.本研究では多くのマルウェアは既知のコンパイラで作成されていることに注目し,ランタイムライブラリのコードと比較することで,この問題の解決を試みた.
著者
岩本 一樹 和崎 克己
出版者
一般社団法人電子情報通信学会
雑誌
電子情報通信学会技術研究報告. ISEC, 情報セキュリティ (ISSN:09135685)
巻号頁・発行日
vol.107, no.397, pp.107-113, 2007-12-12
参考文献数
13
被引用文献数
2

コンピユータウイルスの亜種判定について、コード内のAPI呼び出しや制御フローを静的解析することにより、特徴抽出と種の分類を行う手法について述べる。具体的には、収集したウイルスの実行可能コード(Win32)を逆アセンブルし、マルウェアとして特徴・影響があると思われるAPIの呼び出しグラフを作成し、既に解析済みの種と比較することで、新種・亜種の別などの検査を行う。また、いくつかの亜種の特徴の共通部分グラフをとることで、種の特徴抽出も試みた。