著者
落合 淳 嶋村 誠 河野 健二
雑誌
研究報告システムソフトウェアと オペレーティング・システム(OS)
巻号頁・発行日
vol.2009-OS-112, no.8, pp.1-8, 2009-07-29

現在,ユーザの個人情報を不正に収集するスパイウェアを検出する手法としてTaint Analysis が注目されている.Taint Analysis では,パスワードなどのデータに taint と呼ばれる情報を付加し,taint 情報を持つデータが操作されたときに伝播規則に基づいて taint 情報を伝播する.そして,taint 情報を含むデータが外部に流出した場合にスパイウェアとして検出する.既存のスパイウェアは Taint Analysis を回避していない.そのため,Taint Analysis はスパイウェアが回避手法を用いた場合を考慮していない.本論文では,Taint Analysis の回避手法への耐性を向上させるため,既存の Taint Analysis に対する回避手法を示し,taint 情報の伝播規則の問題点を指摘する.回避手法を検証するため,一般的な伝播規則を用いた Taint Analysis を実装し実験を行った.実験の結果,回避コードを組み込むことで,Taint Analysis による検出ができなくなることを確認した.これにより,taint 情報の伝播規則を改良する必要があることを示した.
著者
嶋村 誠 河野 健二
雑誌
情報処理学会論文誌コンピューティングシステム(ACS) (ISSN:18827829)
巻号頁・発行日
vol.2, no.4, pp.48-63, 2009-12-17

遠隔から攻撃コードをネットワークを介して挿入するリモートコードインジェクション攻撃はセキュリティ上の大きな問題の 1 つである.これに対し,攻撃コードを検知・解析するシステムとして,ネットワーク・コードエミュレータが提案されている.ネットワーク・コードエミュレータでは攻撃コードの疑似実行を行うことにより,攻撃コードを精度良く検知したり,攻撃コードの振舞いを詳細に解析したりできる.また,攻撃コードを実行して解析を行うため,暗号化や難読化を施された攻撃コードにも耐性がある.本論文では,被害プロセスのメモリ上のデータを攻撃コードの一部として利用するメモリスキャン攻撃を用いると既存のネットワーク・コードエミュレータによる解析を妨害できることを示し,メモリスキャン攻撃も解析できるネットワーク・コードエミュレータである Yataglass+ を提案する.実際に Yataglass+ のプロトタイプを作成し,実際の攻撃コードにメモリスキャン攻撃を適用し実験を行った結果,Yataglass+ は正しくメモリスキャン攻撃を適用した攻撃コードを解析できた.
著者
落合 淳 嶋村 誠 河野 健二
出版者
情報処理学会
雑誌
研究報告システムソフトウェアと オペレーティング・システム(OS) (ISSN:09196072)
巻号頁・発行日
vol.2009, no.8, pp.1-8, 2009-07-29

現在,ユーザの個人情報を不正に収集するスパイウェアを検出する手法としてTaint Analysis が注目されている.Taint Analysis では,パスワードなどのデータに taint と呼ばれる情報を付加し,taint 情報を持つデータが操作されたときに伝播規則に基づいて taint 情報を伝播する.そして,taint 情報を含むデータが外部に流出した場合にスパイウェアとして検出する.既存のスパイウェアは Taint Analysis を回避していない.そのため,Taint Analysis はスパイウェアが回避手法を用いた場合を考慮していない.本論文では,Taint Analysis の回避手法への耐性を向上させるため,既存の Taint Analysis に対する回避手法を示し,taint 情報の伝播規則の問題点を指摘する.回避手法を検証するため,一般的な伝播規則を用いた Taint Analysis を実装し実験を行った.実験の結果,回避コードを組み込むことで,Taint Analysis による検出ができなくなることを確認した.これにより,taint 情報の伝播規則を改良する必要があることを示した.<i>Taint analysis</i> is a promising approach to detecting malicious behavior of a leaking users' sensitive data. In taint analysis, we label data as <i>tainted</i> such as password. When a program processes tainted data, we propagate taint attribute in the program, based on a given taint propagation rule. If tainted data is output to untrusted sources, we can recognize that the computer system is compromised. Evasion techniques to taint analysis have not been explored adequately. This means that taint propagation rules are not studied as well. To make taint analysis more powerful, we study current tainting rules and point out the weakness of the rules by using our evasion techniques. We implemented a taint tracker with the well-used propagation rule. Our experimental results demonstrate that the well-used taint propagation rule does not detect the data leak of test programs including our evasion techniques.
著者
嶋村 誠
出版者
関西学院大学
雑誌
言語と文化 = 語言与文化 (ISSN:13438530)
巻号頁・発行日
vol.3, pp.19-31, 2000-03
著者
嶋村 誠 河野 健二
雑誌
情報処理学会論文誌 (ISSN:18827764)
巻号頁・発行日
vol.50, no.9, pp.2371-2381, 2009-09-15

バッファオーバフロー攻撃に代表されるリモートコードインジェクション攻撃が大きな問題となっている.このような攻撃を検知するため,近年ではメッセージ中に機械語命令列に相当するバイト列が含まれているかどうかを検査するネットワーク侵入検知システム(NIDS)が提案されている.しかし,これらのシステムでは検知した攻撃コードが実際にサーバ上でどのように振る舞うかは分からない.このため,NIDSが攻撃を検知すると,管理者は適切な対策をとるため,人手で攻撃コードの振舞いを調査しなければならない.本論文では攻撃メッセージを解析し,攻撃コードの振舞いを抽出するシステムであるYataglassを提案する.Yataglassでは,NIDSが検知したメッセージを機械語命令列と見なして擬似的に実行し,攻撃が成功したときに実行されるシステムコール列を抽出する.実際にIntel x86アーキテクチャのLinuxおよびWindowsに対する攻撃メッセージを対象としたYataglassのプロトタイプを作成し,実験を行った.実験の結果,Sambaを対象とする攻撃メッセージや,Metasploit Frameworkから生成された攻撃メッセージが実行するシステムコールを抽出することができた.