著者
藤本 万里子 松田 亘 満永 拓邦
雑誌
第81回全国大会講演論文集
巻号頁・発行日
vol.2019, no.1, pp.381-382, 2019-02-28

Windows の脆弱性を悪用する攻撃により、多くの組織が被害を受けている。特に2017年に公開された MS17-010の脆弱性は、Wannacryランサムウエアや標的型攻撃の感染拡大活動に悪用された。本脆弱性を悪用するEternalblue Doublepulsarなどの攻撃ツールがインターネットに公開されており、攻撃者は遠隔から任意のコードを実行出来る。更に本ツールはWIndows の正規のプロセスを悪用するため、攻撃を受けたことに気づくのが難しい。本研究では、WIndows のイベントログからMS17-010の脆弱性を悪用する攻撃の痕跡を調査する方法を紹介する。
著者
藤本 万里子 松田 亘 満永 拓邦
雑誌
デジタルプラクティス (ISSN:21884390)
巻号頁・発行日
vol.10, no.2, pp.381-402, 2019-01-15

Struts 2はWebアプリケーションのフレームワークであり,多数のWebサイトや製品で用いられている.しかしながら,近年,Struts 2の脆弱性が立て続けに発見されており,国内においてもStuts2の脆弱性に起因する情報漏えい被害事例が後を絶たない.Struts 2の脆弱性を悪用する攻撃は,脆弱性情報が公開されてから攻撃が開始されるまでの期間が短く,被害が発生する前に開発者がセキュリティパッチを配布し,運用者がパッチを適用することが難しい状況にある.そのような背景から,Webアプリケーションに対する攻撃への技術的な対策として,シグネチャベースのWeb Application Firewall(WAF)やフィルターが用いられる.しかしながら,これらはあらかじめ定義したシグネチャに基づいて特徴的なリクエストを遮断するものであり,Webアプリケーションの内容やユーザが送信するリクエストの特徴によっては,誤検知が発生する可能性がある.そこで本稿では,リクエストに含まれる文字列に対してディープラーニングの処理を適用し,特徴的なリクエストを検知することにより,正規のリクエストと攻撃リクエストを見分け,さらに攻撃リクエストを遮断する手法を提案する.
著者
松田 亘 藤本 万里子 満永 拓邦
雑誌
コンピュータセキュリティシンポジウム2017論文集
巻号頁・発行日
vol.2017, no.2, 2017-10-16

標的型攻撃において,組織に侵入した攻撃者はmimikatzという攻撃ツールを使って組織内で横展開を試みることが多い.mimikatzを使う攻撃では,正規ユーザか攻撃者によるアクセスかを判別するのが難しいという問題がある.そこで,Sysmonを使用して,コンピュータ上でmimikatzがロードしたDLLを検知する研究が行われているが,特定のWindowsやmimikatzのバージョンのみを対象としているため,実環境では誤検知が発生する可能性がある.本研究では,WindowsやmimikatzのバージョンによってロードされるDLLの違いを網羅的に検証し,誤検知を軽減する手法について調査する.また,分析エンジンであるElasticsearchを用いてログを分析し,効率的に検知する方法についても述べる.