著者
松木 隆宏 新井 悠 寺田 真敏 土居 範久
雑誌
情報処理学会論文誌 (ISSN:18827764)
巻号頁・発行日
vol.50, no.9, pp.2118-2126, 2009-09-15

近年,ウイルス対策ソフトウェアによる検知やパターンファイルの作成に必要となる解析を妨害する機能を有したマルウェアが出現している.特に,ボットの場合にはC&C(コマンド&コントロール)サーバの情報や指令コマンド等の解析作業を妨害するため,解析作業の兆候を検知した場合に,自己の動作を意図的に停止するマルウェアの存在も報告されている.このような耐解析機能は,ウイルス対策ベンダやセキュリティ研究者らによるマルウェアの解析時間を増加させ,結果としてマルウェアによるユーザの被害の拡大につながってしまうことになる.本論文では,耐解析機能を備えたマルウェアによるユーザの被害を低減させることを目的とした新しい対策アプローチを提案する.提案方式は,マルウェアの耐解析機能が動作した際に自己の動作を停止する性質に着目し,これを逆用してマルウェアの動作を抑止する方式である.まず,提案方式の実現例として,耐解析機能の1つであるデバッガ検知機能を逆用し,マルウェアの活動を抑止する手法を示す.次に,デバッガ検知機能を逆用するプロトタイプシステムを実装し,ハニーポットで収集したマルウェア検体を用いた評価を通じて,提案方式の有効性を示す.
著者
愛甲 健二 松木 隆宏
雑誌
コンピュータセキュリティシンポジウム2014論文集
巻号頁・発行日
vol.2014, no.2, pp.704-710, 2014-10-15

数理統計的手法により実現されたマルウェア検知アルゴリズムは,学習と評価が保持するデータセットに依存するためその有用性の証明が難しい.本稿ではマルウェアの時系列データに着目し,対象となる検知アルゴリズムの性能が持続する期間を調査,推定し,検知精度の低下と再学習が必要となる時期を予測する手法を提案する.
著者
松木 隆宏 新井 悠 寺田 真敏 土居 範久
出版者
情報処理学会
雑誌
情報処理学会論文誌 (ISSN:18827764)
巻号頁・発行日
vol.52, no.9, pp.2748-2760, 2011-09-15

マルウェアは金銭の詐取を狙うサイバー犯罪の道具として使われている.最近では,利便性の高いWebサービスが数多く出現する陰で,Webを介して感染するWebマルウェアの被害が増加している.その感染拡大の手口は,Web改ざんとDrive-by Downloadにより複雑化している.攻撃は,感染源となるサイト,脆弱性攻撃コード,そして,感染するマルウェアという複数の要素によって構成されており,それらがめまぐるしい変化と多様化を続けている.Webマルウェアへの対策として,感染源サイトのデータベースや攻撃コードの解析技術がWebに公開されている.しかし,それらは部分的な情報であったり,分散した状態であったりするため,対策に十分に活用されているとはいえない.本論文では,Webマルウェアへの対策推進を目的として,Web上に分散しているURLブラックリストなどのセキュリティ情報データベースや攻撃コード,検体解析ツールとクライアントハニーポットを連動させることをマッシュアップと定義し,これによってマルウェア対策に有用な情報を結合する手法を提案する.そして,試作システムを用いて得られたWebマルウェアの調査結果を通して,マッシュアップによる調査手法の有用性を示す.さらに,攻撃サイトのアクセス制御を逆用して感染を回避する手法を示す.Over recent years, malware has become `tool' for cybercrime such as money fraud. The number of damages created by Web-based malware has been increasing under the shadow of convenient Web services. Its infection methods have become more complex and varied by Web defacement and Drive-by Download. The Web-based attacks consist of several elements; landing sites, exploit codes and malwares. Additionally, they continue rapid diversifying and changing. Some useful information and analysis technologies are published on the Web. However, they are not completely utilized enough for countermeasures, because they are dispersed around the Internet. In this paper, we will mashup the data from disparate sources such as honeypot, databases and analysis technologies from the Web. Furthermore, we will provide recommended system which integrates and analyzes dispersed information. All phases of this report were conducted with the objectives of fastest and most accurate solution to deal with Web-based malware. Then, we will report an investigation result of mashup system of Web-based malware, and its usefulness. Also, we will introduce methods of taking advantage of attacker's Website access control, in order to extend the range of countermeasures.
著者
松木 隆宏 松岡 正明 寺田 真敏 鬼頭哲郎 仲小路 博史
出版者
一般社団法人情報処理学会
雑誌
情報処理学会研究報告コンピュータセキュリティ(CSEC) (ISSN:09196072)
巻号頁・発行日
vol.2008, no.71, pp.323-328, 2008-07-17
被引用文献数
1

近年,P2P ファイル交換ソフトウェア環境を悪用したマルウェアなどにより,個人あるいは組織の機密情報が流出する事象が続発し,社会へ悪影響を与えている.本稿では,P2P ファイル交換ソフトウェア環境において,マルウェアによる感染ノードの活動や利用者の誤った操作によって,ノードから機密情報が流出する問題に対し,意図しないファイルの流出を検出した場合にホストが送信するパケットに符号を付与し,不正な活動をしていることを近傍ネットワークに広報する機能を提案する.また,提案方式を実装したプロトタイプシステムについて報告する.Recently, there are many problems regarding the P2P file exchange environment on the Internet. The need to reconsider the current P2P file exchange environment for information leak. In this paper, we propose notification function of illegal activities of host. That is a part of the Information part of Sharing Architecture for P2P File Exchange Environment we showed. And we show prototype system.