著者

村上 洸介 笠間 貴弘 井上 大介

雑誌

研究報告コンピュータセキュリティ(CSEC) (ISSN:21888655)

巻号頁・発行日

vol.2021-CSEC-94, no.34, pp.1-6, 2021-07-12

---

Mirai の登場以降,Telnet や SSH サービス等がインターネットからアクセス可能かつ ID/Password 設定の強度が不十分である IoT 機器がマルウェアに感染する事例が多発している.Mirai を含む IoT マルウェアの中には,感染後に当該機器が他のマルウェアに感染するのを阻止する目的で Telnet 等へのアクセスを禁止するものが存在するが,日本国内においてもインターネット側から Telnet サービスへアクセス可能な機器は数万台規模で未だ存在してい る.この事実は,それらの機器が適切なパスワード設定によってマルウェア感染を回避しており,サイバー攻撃の踏み台として悪用されないことを示すのだろうか? 我々は日本国内のパスワード設定に不備のある IoT 機器に対する調査プロジェクト NOTICE を 2019 年 2 月より開始した.本稿では,NOTICE プロジェクトの調査結果と大規模ダークネットの観測結果より,パスワード設定に不備のある IoT 機器のマルウェア感染状況を分析すると共に,マルウェア非感染の要因や当該機器がサイバー攻撃へ悪用されるリスクを明らかにする.

著者

笠間 貴弘 安田 真悟 佐藤 公信 神薗 雅紀 小島 恵美 山口 孝夫 奈良 和春

雑誌

研究報告セキュリティ心理学とトラスト(SPT) (ISSN:21888671)

巻号頁・発行日

vol.2019-SPT-32, no.26, pp.1-6, 2019-02-28

---

テクニカルスキルの習熟のみでは防ぐことができないヒューマンエラーが生死に直結する航空 ・ 宇宙などの業界では,ヒューマンエラーの軽減を目的としたノンテクニカルスキルの訓練 ・ 評価の取り組みが大きな効果をあげている.一方,サイバーセキュリティの分野においては,未だヒューマンエラーによりインシデントが拡大する事案が散在しており,ノンテクニカルスキルに対する訓練 ・ 評価も十分ではない.そこで本稿では,航空 ・ 宇宙分野などで蓄積されたノウハウをベースに,セキュリティインシデント対応に適した新たなノンテクニカルスキルマップを作成する.また,提案したノンテクニカルスキルマップをサイバー演習等に応用させ,ノンテクニカルスキルの評価を実現する方法について検討する.

著者

小野 諒人 神薗 雅紀 笠間 貴弘 上原 哲太郎

雑誌

研究報告セキュリティ心理学とトラスト(SPT) (ISSN:21888671)

巻号頁・発行日

vol.2018-SPT-27, no.18, pp.1-6, 2018-02-28

---

ダークウェブとは主に匿名ネットワークを利用してインターネット上にオーバーレイネットワークで構築された Web サイト群のことを指す.ダークウェブはその高い匿名性からプライバシ保護や検閲回避等の目的で利用されている一方,違法薬物の販売サイトなどの違法サイトの構築にも悪用されている.ダークウェブに存在する Web サイトを把握することは容易ではなく,仮にその存在がわかったとしても実際の Web サーバの IP アドレスは秘匿されているため,不正サイトの摘発などの直接的な対策につなげることは難しい.そこで本稿では,Tor 秘匿サービス上のダークウェブを対象とし,HSDir の Snooping による Onion アドレスの収集と,秘匿サービスを利用しているサーバヘのスキャンを組み合わせたダークウェブ分析システムを提案 ・ 実装し,観測結果について報告する.

著者

小野 諒人 神薗 雅紀 笠間 貴弘 上原 哲太郎

出版者

電子情報通信学会

雑誌

電子情報通信学会技術研究報告 = IEICE technical report : 信学技報 (ISSN:09135685)

巻号頁・発行日

vol.117, no.481, pp.103-108, 2018-03-07

著者

笠間 貴弘 織井達憲 吉岡 克成 松本 勉

出版者

情報処理学会

雑誌

情報処理学会論文誌 (ISSN:18827764)

巻号頁・発行日

vol.52, no.9, pp.2761-2774, 2011-09-15

---

近年,任意のユーザから実行ファイルなどの検体の提出を受け付け,解析環境(サンドボックス)内で実行し,その挙動を解析して結果をユーザに提供する「公開型マルウェア動的解析システム」が人気を集めている.我々はこれまで,特別に設計された検体(デコイ)をシステムに提出することで,サンドボックスの情報を暴露させ,その情報を基にサンドボックスの検知を行う攻撃手法として「デコイ挿入攻撃」を提案し,実証実験により,サンドボックスのIPアドレスを用いた検知が実運用中の15個のシステムに対して有効であることを示している.しかし,IPアドレス以外の情報を用いた検知については未検証だった.当該脆弱性を正確に把握し適切な対策を導出するため,本稿では,まず,IPアドレスを含む16種類のサンドボックス情報に着目し,これらの情報が,取得安定性や個別性といった,サンドボックス検知に有効な性質を有しているかを実証実験により評価する.実験の結果,Windowsプロダクトキー,MACアドレス,OSインストール日時といったサンドボックス情報は,検知対策を行っていると思われる特定の例外を除いて,検知に利用できることが分かった.さらに,ネットワークを介さずに解析レポート経由でサンドボックス情報を暴露する方法も有効であり,我々のこれまでの検討では攻撃対象となりえなかった,隔離型サンドボックスも攻撃対象となりうることが確認された.このことから,公開型マルウェア動的解析システムにおいては,IPアドレス以外のサンドボックス情報による検知への対策や,解析レポート経由による暴露への対策などを含めた,総合的なデコイ挿入攻撃への対策が必要であることが分かった.Recently, the use of public Malware Sandbox Analysis Systems (public MSASs) which receive online submissions of possibly malicious files or URLs from an arbitrary user, analyze their behavior by executing or visiting them by a testing environment (i.e., a sandbox), and send analysis reports back to the user, has increased in popularity. In previous study, we have pointed out a vulnerability of public MSASs against decoy injection attack, in which an attacker detects the sandbox based on its IP address which can be obtained by submitting a decoy sample designed for this purpose. However, we did not further investigate the possibility of detection using sandbox information other than its IP address. In this paper, in order to better understand the vulnerability and develop an effective countermeasure, we evaluate 16 different kinds of characteristics in the sandbox in terms of their accessibility and uniqueness for sandbox detection. As a result of experiments with real public MSASs in operation, we found that characteristic information such as Windows' product key, MAC address, and system install time can be utilized for sandbox detection, except for particular systems which appeared to have deployed a countermeasure. Moreover, besides network-based disclosure, we show that such characteristic information of the sandbox can be disclosed via an analysis report provided to the user, which means that the decoy injection attack can be performed against the sandbox isolated from the real Internet. Thus, our study confirmed the broad applicability of the decoy injection attack and also necessity of comprehensive countermeasures.

著者

西田 雅太 星澤 裕二 笠間 貴弘 衛藤 将史 井上 大介 中尾 康二

出版者

一般社団法人情報処理学会

雑誌

研究報告マルチメディア通信と分散処理(DPS) (ISSN:09196072)

巻号頁・発行日

vol.2014, no.21, pp.1-7, 2014-02-27

---

近年増加しているドライブバイダウンロード攻撃では,JavaScript を介して攻撃を行うものがあり,悪意のある JavaScript を検出する手法が希求されている.本稿では,難読化が施された JavaScript の文字出現頻度が一般の JavaScript とは異なる傾向があることに着目し,スクリプトの文字出現頻度を機械学習のパラメータとすることで,悪意のある難読化スクリプトを検出する手法を提案する.また提案手法の検証として,一般サイトの JavaScript と MWS データセット内の D3M 攻撃通信データの JavaScript を入力として学習した結果を示す.Today the number of Drive-by-Download attacks using JavaScript has increased. Therefore we need an efficient method to detect malicious JavaScript. In this paper, we focus our attention on a bias of character frequency of obfuscated malicious JavaScript. We will propose the use of machine learning with character frequency to detect obfuscated malicious JavaScript. This paper will also evaluate the proposed method by using various JavaScript in benign web sites and D3M pcap of MWS dataset.

著者

細渕 嘉彦 笠間 貴弘 吉岡 克成 松本 勉

出版者

情報処理学会

雑誌

研究報告マルチメディア通信と分散処理(DPS) (ISSN:09196072)

巻号頁・発行日

vol.2010, no.38, pp.1-7, 2010-02-25

---

本稿では,マルウェアがアクセスする C&C サーバやダウンロードサーバ (以降,攻撃者サーバと呼ぶ) において,クライアント側の IP アドレスの使用頻度に基づくアクセス制御が行われていることを実際の攻撃者サーバへの接続実験により確認する.ハニーポットにより収集した 441 体のマルウェアが実際にアクセスする攻撃者サーバに対して接続実験を行った結果,使用頻度の高い IP アドレスを用いたクライアントからの接続要求に対して,一定期間アクセスをブロックするサーバの存在を確認した.このことから,インターネット接続型の動的解析では,毎回 IP アドレスを変更して解析を行うことが望ましいといえる.We carry out an experiment to investigate an access control capability of C&C servers and download servers with which malware communicate. In the experiment using 441 malware samples captured in the wild, we found two servers that indeed have a capability to block accesses from a client with a frequently used IP address. Consequently, we conclude that it is preferable to change an IP address of a sandbox when analyzing malware that communicate with such servers.

著者

村上 洸介 織井 達憲 笠間 貴弘 吉岡 克成 松本 勉

出版者

情報処理学会

雑誌

研究報告コンピュータセキュリティ(CSEC) (ISSN:21862583)

巻号頁・発行日

vol.2011, no.54, pp.1-8, 2011-03-03

---

近年,任意のユーザから実行ファイル等の投稿を受け付け,解析環境 (サンドボックス) 内で実行し,その挙動を解析して結果をユーザに提供する 「マルウェア動的解析オンラインサービス」 が人気を集めている.我々はこれまで,特別に設計したデコイを解析対象としてサービスに投稿することで,サンドボックスの情報を暴露させ,その情報を基に解析環境の検知・回避を行う攻撃に対して,当該サービスが脆弱であることを指摘している.特に,インターネット接続型のサンドボックスが用いる IP アドレスは,容易に変更することが難しい場合も多く,攻撃者に特定された場合にサービスの解析結果に重大な影響を及ぼす.そこで本稿では,サンドボックスをインターネットに接続する際に,検体を投稿するユーザのホストをプロキシとして用いることで,サンドボックスの IP アドレスを攻撃者から隠蔽する手法を提案する.また,提案手法の具体的な実現例について示し,考察を行う.Recently, the use of public Malware Sandbox Analysis Systems (public MSASs), which receive online submissions of possibly malicious files or URLs from an arbitrary user, analyze their behavior by executing or visiting them by a testing environment (i.e., a sandbox), and send analysis reports back to the user, has increased in popularity. In previous study, we have pointed out a vulnerability of public MSASs that the host information (i.e., Windows product key, MAC address, IP address, etc.) of a sandbox used in public MSAS can be easily disclosed by an attacker who submits a decoy sample dedicated to this purpose, and an attacker can detect public MSAS and conceal potential malicious behavior of malware by using the disclosed information. In particular, if the IP address used by an Internet-connected sandbox is identified by an attacker, then it causes serious influence on an analysis result of the service. In this paper, we propose a method that uses a service user as a proxy when the sandbox connects the internet for hiding its IP address. We also show an implementation example of the proposed method.