著者
村上 洸介 笠間 貴弘 井上 大介
雑誌
研究報告コンピュータセキュリティ(CSEC) (ISSN:21888655)
巻号頁・発行日
vol.2021-CSEC-94, no.34, pp.1-6, 2021-07-12

Mirai の登場以降,Telnet や SSH サービス等がインターネットからアクセス可能かつ ID/Password 設定の強度が不十分である IoT 機器がマルウェアに感染する事例が多発している.Mirai を含む IoT マルウェアの中には,感染後に当該機器が他のマルウェアに感染するのを阻止する目的で Telnet 等へのアクセスを禁止するものが存在するが,日本国内においてもインターネット側から Telnet サービスへアクセス可能な機器は数万台規模で未だ存在してい る.この事実は,それらの機器が適切なパスワード設定によってマルウェア感染を回避しており,サイバー攻撃の踏み台として悪用されないことを示すのだろうか? 我々は日本国内のパスワード設定に不備のある IoT 機器に対する調査プロジェクト NOTICE を 2019 年 2 月より開始した.本稿では,NOTICE プロジェクトの調査結果と大規模ダークネットの観測結果より,パスワード設定に不備のある IoT 機器のマルウェア感染状況を分析すると共に,マルウェア非感染の要因や当該機器がサイバー攻撃へ悪用されるリスクを明らかにする.
著者
村上 洸介 織井 達憲 笠間 貴弘 吉岡 克成 松本 勉
出版者
情報処理学会
雑誌
研究報告コンピュータセキュリティ(CSEC) (ISSN:21862583)
巻号頁・発行日
vol.2011, no.54, pp.1-8, 2011-03-03

近年,任意のユーザから実行ファイル等の投稿を受け付け,解析環境 (サンドボックス) 内で実行し,その挙動を解析して結果をユーザに提供する 「マルウェア動的解析オンラインサービス」 が人気を集めている.我々はこれまで,特別に設計したデコイを解析対象としてサービスに投稿することで,サンドボックスの情報を暴露させ,その情報を基に解析環境の検知・回避を行う攻撃に対して,当該サービスが脆弱であることを指摘している.特に,インターネット接続型のサンドボックスが用いる IP アドレスは,容易に変更することが難しい場合も多く,攻撃者に特定された場合にサービスの解析結果に重大な影響を及ぼす.そこで本稿では,サンドボックスをインターネットに接続する際に,検体を投稿するユーザのホストをプロキシとして用いることで,サンドボックスの IP アドレスを攻撃者から隠蔽する手法を提案する.また,提案手法の具体的な実現例について示し,考察を行う.Recently, the use of public Malware Sandbox Analysis Systems (public MSASs), which receive online submissions of possibly malicious files or URLs from an arbitrary user, analyze their behavior by executing or visiting them by a testing environment (i.e., a sandbox), and send analysis reports back to the user, has increased in popularity. In previous study, we have pointed out a vulnerability of public MSASs that the host information (i.e., Windows product key, MAC address, IP address, etc.) of a sandbox used in public MSAS can be easily disclosed by an attacker who submits a decoy sample dedicated to this purpose, and an attacker can detect public MSAS and conceal potential malicious behavior of malware by using the disclosed information. In particular, if the IP address used by an Internet-connected sandbox is identified by an attacker, then it causes serious influence on an analysis result of the service. In this paper, we propose a method that uses a service user as a proxy when the sandbox connects the internet for hiding its IP address. We also show an implementation example of the proposed method.