著者

中島 明日香 岩村 誠 矢田 健

雑誌

コンピュータセキュリティシンポジウム2015論文集

巻号頁・発行日

vol.2015, no.3, pp.304-309, 2015-10-14

---

サイバー攻撃の原因の一つとしてソフトウェア中に存在する脆弱性が挙げられる.その中でも,ソフトウェア開発過程において脆弱性部分のソースコードが複製される事 (コードクローン) により発生する脆弱性がある.本研究では実行ファイルを対象に,コードクローンにより生じた脆弱性の発見手法を提案する.具体的には,過去に発見された脆弱性部分から機械語命令を抽出しオペランドを正規化した後,類似文字列検索アルゴリズムを用いて複製先の脆弱性を発見する.提案手法の有効性を示すため,実在のコードクローンの脆弱性を利用し脆弱性の複製元箇所と複製先ソフトウェア間との類似度算出を行った結果,最低でも 60.7%の類似度が算出された.また,本提案手法を用いて実行ファイル 40945 個に対して検査を実施した所,実際に過去コードクローンの脆弱性であったものを発見した.

著者

岩村 誠

出版者

[出版者不明]

巻号頁・発行日

2012-02

---

制度:新 ; 報告番号:甲3533号 ; 学位の種類:博士(工学) ; 授与年月日:2012/2/25 ; 早大学位記番号:新5871

著者

岩村 誠 伊藤 光恭 村岡 洋一

出版者

一般社団法人電子情報通信学会

雑誌

電子情報通信学会技術研究報告. ICSS, 情報通信システムセキュリティ (ISSN:09135685)

巻号頁・発行日

vol.110, no.79, pp.19-24, 2010-06-10

被引用文献数

2

---

従来のアンパッキング手法に関する研究は,主にOEP(Original Entry Point)の特定に焦点を当てており,抽出すべきプログラムコード領域がどこからどこまでの範囲なのかについては,特に言及されてこなかった.本稿では,OEPを含む連続するコミット済みメモリ領域を抽出し,このバイト列における相対アドレス指定の分岐命令に着目することで,OEPを含むプログラムコード領域を識別する手法を提案する.これにより,マルウェアのプログラムコード領域全体を抽出できるだけでなく,他の動的リンクライブラリ等を抽出対象から取り除くことが可能となる.また,本提案手法における実験では,対象となるプログラムコード領域の前後に,他のプログラムコード領域を含むメモリイメージが接している場合にも,分岐区域数の期待値に着目することで,OEPを含むプログラムコード領域だけを識別できることを示した.

著者

赤羽 秀 川古谷 裕平 岩村 誠 岡本 剛

雑誌

コンピュータセキュリティシンポジウム2022論文集

巻号頁・発行日

pp.168-175, 2022-10-17

---

IoT 機器の普及に伴い,Linux 環境を標的としたマルウェアが増加している.Linux で動作するプログラムの効率的な動的解析を行うためのツールとして,動的結合されたライブラリ関数の呼び出しをトレースする ltrace がある.しかし,過去の研究からほとんどの IoT マルウェアは静的結合されていることがわかっているため,ltrace では一部の IoT マルウェアしか解析できない.また,IoT 機器では様々なアーキテクチャが使用されているため,アーキテクチャに依存せずにマルウェアを解析できる技術が求められている.本研究では,IoT マルウェアの解析支援を行うために,静的結合されたライブラリ関数をアーキテクチャに依存せずにトレースする手法として xltrace を提案する.xltrace は,静的結合されたライブラリ関数の呼び出しをトレースする機能を QEMU の中間表現層で実装することによって,特定のアーキテクチャに依存しないライブラリ関数のトレースを実現することを目指す.提案手法の評価を行った結果, SPARC と SPARC64 を除く 10 種類のアーキテクチャの IoT マルウェアについて,xltrace が静的結合されたライブラリ関数をトレースできることを確認した.

著者

岩村 誠 川古谷 裕平 針生 剛男

雑誌

コンピュータセキュリティシンポジウム2011 論文集

巻号頁・発行日

vol.2011, no.3, pp.12-17, 2011-10-12

---

本論文では,アンパッキング後のマルウェアにおけるインポート・アドレス・テーブル(IAT)のエントリ格納場所を特定する手法を提案する.従来の手法は,マルウェアの逆アセンブル結果からIATを利用する機械語命令を探し出すことでIAT格納場所を推定していた.しかしWindows用コンパイラは可変長の機械語命令とデータが混在するバイナリを出力する傾向にあるため,正確な逆アセンブル結果を得ることは難しい.こうした問題に対し提案手法は,マルウェア内の各アドレスがIATエントリ格納場所である確率を算出し,当該確率が十分に高いアドレスを探し出すことで,精度よくIATエントリの格納場所を特定することを可能にした.

著者

川古谷 裕平 岩村 誠 三好 潤

雑誌

コンピュータセキュリティシンポジウム2017論文集

巻号頁・発行日

vol.2017, no.2, 2017-10-16

---

マルウェアの静的解析において,Windows APIはマルウェアの機能を効率的に読み取るための重要な情報源である.しかし,その有用性のため,マルウェア作者はマルウェアに難読化を施し,インポートしているAPIを隠蔽する傾向がある.本論文では,マルウェアが利用するAPI難読化手法とそれらを解析する既存手法を整理し,既存手法がAPIの配置場所を難読化する解析妨害に脆弱であることを示す.次に,この問題を解決するため,テイント解析により得た情報に基づき,メモリダンプ内のIATのAPIアドレス解決を行う提案する.本提案手法を用いることで,マルウェが配置場所難読化を施した場合でも,インポートしているAPIを正確に特定できることを実験にて示す.

著者

山本 元司 岩村 誠人 毛利 彰

出版者

日本ロボット学会

雑誌

日本ロボット学会誌 (ISSN:02891824)

巻号頁・発行日

vol.16, no.8, pp.1123-1130, 1998-11-15 (Released:2010-08-25)

参考文献数

12

被引用文献数

1

---

This paper proposes a planning method for time-optimal trajectories of mobile robots. A dynamical model for two independently driven wheels type mobile robots is derived. Using an idea of path parameter, optimal trajectory for specified path of mobile robot is easily obtained considering dynamical constraints such as driving torques and velocities. An efficient collision-free near-time-optimal trajectory planning method is proposed using a local optimization method and a global search method of initial paths. The B-spline parameter optimization method is used as a local optimization. Some numerical examples show an effectiveness of the proposed planning method.

著者

岩村 誠 伊藤光恭 村岡 洋一

雑誌

情報処理学会論文誌 (ISSN:18827764)

巻号頁・発行日

vol.51, no.9, pp.1622-1632, 2010-09-15

---

本論文では,機械語命令列の類似度算出手法および自動マルウェア分類システムを提案する.機械語命令列の類似度算出に関する提案手法では,新たなマルウェアが出現した際に,過去に収集されたマルウェアとの近さを算出するとともに,過去のマルウェアと共通の命令列および実際に変更のあった箇所を推定可能にする.一方,昨今の多くのマルウェアはパッカによりそのプログラムコードが隠蔽されている.こうした課題に対しこれまで我々は,マルウェアのアンパッキング手法および逆アセンブル手法を開発してきた.本論文では,これらの手法に機械語命令列の類似度算出に関する提案手法を組み合わせ,マルウェア分類システムを構築した.実験では本システムを利用し,3グループのマルウェア検体を分類した.その結果,ハニーポットで収集した約3,000種類のマルウェアであっても,わずか数種類のマルウェアを解析することで,全体の75%程度のマルウェアの機能を把握できることが分かった.さらに,類似度の高いマルウェアに関しては,それらの差分を推定でき,変更箇所にのみ着目した解析が可能なことも分かった.また,本システムの分類結果とアンチウィルスソフトによる検出名の比較では,本システムが同一と判断したマルウェアに関して,アンチウィルスソフトでは異なる複数の検出名が確認される状況もあり,マルウェアに対する命名の難しさが明らかになった.

著者

岩村 誠 伊藤光恭 村岡 洋一

雑誌

情報処理学会論文誌 (ISSN:18827764)

巻号頁・発行日

vol.51, no.9, pp.1622-1632, 2010-09-15

---

本論文では,機械語命令列の類似度算出手法および自動マルウェア分類システムを提案する.機械語命令列の類似度算出に関する提案手法では,新たなマルウェアが出現した際に,過去に収集されたマルウェアとの近さを算出するとともに,過去のマルウェアと共通の命令列および実際に変更のあった箇所を推定可能にする.一方,昨今の多くのマルウェアはパッカによりそのプログラムコードが隠蔽されている.こうした課題に対しこれまで我々は,マルウェアのアンパッキング手法および逆アセンブル手法を開発してきた.本論文では,これらの手法に機械語命令列の類似度算出に関する提案手法を組み合わせ,マルウェア分類システムを構築した.実験では本システムを利用し,3グループのマルウェア検体を分類した.その結果,ハニーポットで収集した約3,000種類のマルウェアであっても,わずか数種類のマルウェアを解析することで,全体の75%程度のマルウェアの機能を把握できることが分かった.さらに,類似度の高いマルウェアに関しては,それらの差分を推定でき,変更箇所にのみ着目した解析が可能なことも分かった.また,本システムの分類結果とアンチウィルスソフトによる検出名の比較では,本システムが同一と判断したマルウェアに関して,アンチウィルスソフトでは異なる複数の検出名が確認される状況もあり,マルウェアに対する命名の難しさが明らかになった.We propose the method for calculating the similarity of machine code instructions and an automatic malware classification system based on the method. Our method enables malware analysts to calculate the distance of known malware to new one and estimate the part that are different. By the way, the machine code instructions of many recent malware are hidden by a packer. For solving the problem, we developed an unpacker and a disassembler. In this paper, we build the automatic malware classification system with a combination of the unpacker, the disassembler and the proposal method for the similarity of machine code instructions. In the experiment, we classified 3 groups of malware. The experiment results show that we can understand 75% of the whole malware functions by analyzing several different types of malware. For the similar pair of malware, the system could estimate the difference, i.e., we could analyze the malware focused on the different part. In the comparison with our system results and the names by anti-virus software, the problems of naming malware emerged, e.g., anti-virus software indicated different names about the malware that our system identified as the same malware.