著者
大石達也 樫山武浩 瀧本栄二 毛利公一
出版者
一般社団法人情報処理学会
雑誌
全国大会講演論文集
巻号頁・発行日
vol.2012, no.1, pp.631-633, 2012-03-06

従業員が無断でUSBメモリに機密データをコピーして持ち出したり,誤ってメールに添付して送信したりといった事故を防止するためのシステムを提案する.具体的には,メモリ上に読み込まれたファイルのデータの流れを追跡し,データが出力されようとする(writeシステムコールが発行される)とき,データの元となったファイルの機密度に基づいてOSが出力の可否を判定する.
著者
大月 勇人 瀧本 栄二 齋藤 彰一 毛利 公一
雑誌
コンピュータセキュリティシンポジウム2014論文集
巻号頁・発行日
vol.2014, no.2, pp.843-850, 2014-10-15

最近のマルウェアには,他のプロセスのメモリ上に潜んで動作するものや複数のモジュールで構成されるものが存在する.このようなマルウェアに対して,従来のプロセスやスレッドを単位として挙動を観測する手法では個々の動作の区別が困難である.この課題の解決のために,システムコールトレーサであるAlkanetは,システムコールフック時にスタックトレースを行い,呼出し元となったコードまで特定する.ただし,当該手法では,マルウェアにスタックを改竄された場合に呼出し元を正確に取得できない.そこで,本論文では,CPUに搭載されているブランチトレース機能を活用した正確な呼出し元の取得手法とその有効性について述べる.
著者
青木 和也 掛井 将平 瀧本 栄二 毛利 公一 齋藤 彰一
雑誌
コンピュータセキュリティシンポジウム2019論文集
巻号頁・発行日
vol.2019, pp.597-604, 2019-10-14

マルウェアの高度化によりあらゆる異常動作を検知することは難しくなっている.アンチウイルスソフトを回避するためにファイルを生成しない,ファイルレス型のマルウェアも存在する.実行中のプログラムの動作を正確に解析するにはメモリダンプでメモリ上に展開されたプログラムを取得し解析する必要がある.しかしメモリダンプを防ぐ技術も存在するので安全にメモリダンプを取得する方法は確立していない. 本論文ではARMのセキュリティ拡張機能であるTrustZoneを利用する.TrustZoneは計算機資源をNormal WorldとSecure Worldと呼ばれる2つの領域にハードウェア的に分割する.Secure WorldはNormal Worldより高い権限を持つのでNormal Worldで動作するプロセスはSecure Worldでの処理を妨げることは難しい.Secure WorldからNormal Worldのプロセスメモリを解析するするためのプロトタイプを実装し,機能の一例としてプロセスの正常動作を保証できることを確認した.
著者
福田 泰平 明田 修平 瀧本 栄二 齋藤 彰一 毛利 公一
雑誌
コンピュータセキュリティシンポジウム2017論文集
巻号頁・発行日
vol.2017, no.2, 2017-10-16

Androidアプリケーション(App)には,外部モジュールを組み込んだものが多い.外部モジュールには,個人に関する情報を無断で外部へ送信するものが存在し,これによって情報漏えいにつながる可能性が指摘されている.この実態を明らかにするために,JDWPを利用した動的解析ツールを構築し,マーケットに存在するAppを対象に外部モジュールによって実際に外部へ送信された情報を観測した.その結果,ハードウェア識別子を送信する外部モジュールの存在やAppが送信する個人情報の傾向が外部モジュールの利用状況に影響することが明らかとなった.本論文では,これらモジュールによる利用者情報の取得・送信状況の実態について報告する.
著者
松本 隆志 瀧本 栄二 齋藤 彰一 毛利 公一
雑誌
情報処理学会論文誌 (ISSN:18827764)
巻号頁・発行日
vol.60, no.12, pp.2269-2278, 2019-12-15

情報漏洩インシデントの主な原因は,人為的なミスによるものであると報告されている.我々はこの問題に対して,これまでファイルごとにデータ保護ポリシを設定可能(以下,ポリシ)とし,ポリシで禁止された範囲へのプロセスによるデータの出力・送信を検出・禁止することによって人為的なミスによる情報漏洩を防止するセキュアシステムSalviaシリーズの開発を行ってきた.それぞれの差異は,主として,プロセスが扱うデータフローの追跡手法であった.本論文では,動的テイント解析機能を有するハードウェアエミュレータとOSの連携によって実現したTA-Salviaについて述べる.TA-Salviaの特徴は,(1) 1バイト単位でポリシを定義できる,(2)メモリ上において1バイト単位でデータフロー追跡が可能,(3)二次記憶装置においても同様に追跡が可能,(4) TA-Salviaどうしであればネットワークを越えたデータフローの追跡も可能な点である.本論文では,特に(4)について,その設計,実装および評価について述べる.評価では,実際にファイル共有やメール送信を行い,データを継続して追跡できていることを示した.
著者
内匠 真也 奥野 航平 大月 勇人 瀧本 栄二 毛利 公一
雑誌
研究報告コンピュータセキュリティ(CSEC)
巻号頁・発行日
vol.2015-CSEC-68, no.12, pp.1-8, 2015-02-26

情報漏洩の多くは人為的なミスにより発生している.そこで,人為的ミスによる情報漏洩を防止するために,ファイルごとに設定可能なデータの機密度に基づいて,データの出力処理を制御するセキュアシステム DF-Salvia の開発を行っている.DF-Salvia では,コンパイラと OS が連携し,プロセス内部のデータフローを追跡する.本論文では,そのデータフロー追跡手法について述べる.具体的には,コンパイラによってデータフローの静的解析情報を生成するとともに,実行時に動的解析を可能とするためのデータフロー追跡用コードを挿入する.OS は,それらの情報をもとに動的にデータフローを解析する.本手法をアプリケーションに適用させた結果,データフローを追跡し,情報漏洩を防止できることを確認した.
著者
中島 将太 明田 修平 瀧本 栄二 齋藤 彰一 毛利 公一
雑誌
コンピュータセキュリティシンポジウム2016論文集
巻号頁・発行日
vol.2016, no.2, pp.526-533, 2016-10-04

マルウェア対策では,マルウェア解析が重要である.一般的にマルウェア解析は,動的解析,静的解析の手順で行う.しかし,現状では動的解析の結果が,静的解析作業と十分に連携できているとは言えない.特に,動的解析時に記録した API 呼び出し情報と逆アセンブルコードを対応付けていないため,静的解析時に実行時の API 呼び出し情報を活用できていない.また,静的解析を行うためには,実行時にのみ展開されるコードを取得する必要がある.そこで,動的解析時の API 呼び出し情報と,メモリ上のマルウェアのコードを取得し,静的解析を積極的に補助する手法を提案する.本論文では,Alkanet と IDA を連携させた静的解析補助手法について述べる.