著者
森下 瞬 上野 航 田辺 瑠偉 カルロス ガニャン ミシェル ファン イートゥン 吉岡 克成 松本 勉
雑誌
情報処理学会論文誌 (ISSN:18827764)
巻号頁・発行日
vol.61, no.9, pp.1397-1413, 2020-09-15

インターネット上で発生している攻撃を観測するために,オープンソースハニーポットの研究や運用が行われている.しかし,オープンソースハニーポットの特徴は攻撃者によって検知可能であり,回避される可能性がある.本研究では,あらかじめ作成した20種類のハニーポット検知用のシグネチャを用いて,攻撃者が容易に検知可能なバナー等の応答をカスタマイズしていない14種類のオープンソースハニーポットの利用状況を調査する.そして,現状の運用者のハニーポット検知に対する問題意識を把握し,注意喚起により検知への対策を促進することを目指す.評価実験の結果,637のAS上で運用される19,208のハニーポットが容易に検知可能な状態で運用されていることが判明した.多くが研究機関のネットワークで運用されていたが,企業やクラウドでも運用されていた.そのうちのあるハニーポット群は著名なセキュリティセンタで実運用されていることが判明した.このうち,11組織のハニーポット運用者に連絡をとったが,4つの組織からしか返答が得られなかったことから,ネットワークやハニーポットの管理に十分な注意が払われていない可能性がある.加えて,ある国立研究機関のネットワークの運用者は,ハニーポット検知の問題を認識していなかった.また,いくつかのハニーポットが攻撃者によって,マルウェアの配布に悪用されている事例を発見した.検知されたハニーポットの運用者に通知を行い,シグネチャベースの検知を回避するためのカスタマイズを推奨した.同様に,ハニーポットの開発者に対しても通知を行い,本研究成果を共有した.そのうちの開発者の1人は我々の開示を考慮し,ハニーポットのリポジトリにカスタマイズの記述を追加した.このように,本研究はハニーポットの適切な運用に貢献できたと考える.
著者
田辺 瑠偉 鈴木 将吾 イン ミン パパ 吉岡 克成 松本 勉
雑誌
情報処理学会論文誌 (ISSN:18827764)
巻号頁・発行日
vol.57, no.9, pp.2021-2033, 2016-09-15

マルウェアには,攻撃対象ホスト上のネットワークサービスの脆弱性を突いてその権限を奪取するリモートエクスプロイト攻撃や脆弱なパスワードが設定されている機器へ不正侵入を行うことで感染を拡大するものが存在し,インターネット上の重大な脅威となっている.こうしたマルウェアに感染したホストは,その脆弱性を修正しない限り感染中もさらなるリモート侵入を受ける可能性がある.一部のマルウェアは自らが侵入する際に悪用した脆弱性を感染後に修正することで他のマルウェアによる侵入を防ぐことが知られているが,マルウェア感染ホストへのリモート再侵入の可能性についてはこれまで詳しく検証されていない.そこで本稿では,実マルウェア検体を用いた動的解析実験によりマルウェア感染ホストへのリモート再侵入の可否を検証し,マルウェアに感染したホストへのリモート再侵入により感染の拡大を阻止する手法を提案する.検証実験では,ハニーポットを用いて収集したリモートエクスプロイト攻撃を行う294検体のうち,181検体においてリモート再侵入が成功した.同様に,ハニーポットを用いて収集した組み込みシステムを狙うマルウェア18検体のうち7検体においてリモート再侵入が成功した.リモート再侵入が成功したマルウェア感染ホストについては,侵入に用いたサービスや感染拡大を行っているプロセスの停止,通信の制限を行うことができた.提案手法を用いることで,保護対象ネットワーク内で発生した感染拡大活動を観測し,マルウェア感染ホストへのリモート再侵入により感染が拡大するのを阻止する,マルウェアへの早期対応を目指す.
著者
筒見 拓也 野々垣 嘉晃 田辺 瑠偉 牧田 大佑 吉岡 克成 松本 勉
雑誌
研究報告コンピュータセキュリティ(CSEC)
巻号頁・発行日
vol.2014-CSEC-65, no.16, pp.1-6, 2014-05-15

近年,DNS リフレクション攻撃に代表される分散型サービス不能攻撃,通称 DRDoS 攻撃 (Distributed Reflection Denial-of-Service attack) が脅威となっている.DRDoS 攻撃は,インターネット上における様々な種類のサービスを悪用するため,攻撃の傾向を分析するためには単一のサービスでなく,複数のサービスを用いて攻撃を観測することが重要である.本稿では,DRDoS 攻撃に悪用される恐れのある複数種類のネットワークサービスを模擬するハニーポットを用意し,DRDoS 攻撃を観測する手法を提案する.