著者
西田 雅太 星澤 裕二 笠間 貴弘 衛藤 将史 井上 大介 中尾 康二
出版者
一般社団法人情報処理学会
雑誌
研究報告マルチメディア通信と分散処理(DPS) (ISSN:09196072)
巻号頁・発行日
vol.2014, no.21, pp.1-7, 2014-02-27

近年増加しているドライブバイダウンロード攻撃では,JavaScript を介して攻撃を行うものがあり,悪意のある JavaScript を検出する手法が希求されている.本稿では,難読化が施された JavaScript の文字出現頻度が一般の JavaScript とは異なる傾向があることに着目し,スクリプトの文字出現頻度を機械学習のパラメータとすることで,悪意のある難読化スクリプトを検出する手法を提案する.また提案手法の検証として,一般サイトの JavaScript と MWS データセット内の D3M 攻撃通信データの JavaScript を入力として学習した結果を示す.Today the number of Drive-by-Download attacks using JavaScript has increased. Therefore we need an efficient method to detect malicious JavaScript. In this paper, we focus our attention on a bias of character frequency of obfuscated malicious JavaScript. We will propose the use of machine learning with character frequency to detect obfuscated malicious JavaScript. This paper will also evaluate the proposed method by using various JavaScript in benign web sites and D3M pcap of MWS dataset.
著者
岩本 一樹 西田 雅太 和﨑 克己
雑誌
研究報告コンピュータセキュリティ(CSEC)
巻号頁・発行日
vol.2013-CSEC-63, no.2, pp.1-7, 2013-12-02

Android を搭載するスマートフォンの普及とともに Android のアプリも増加しており,Android の対象とするマルウェアも増加している.しかし公開されるすべてのアプリを解析者が解析することは困難なので,大量にあるアプリの中から解析者が解析するべき疑わしいアプリを絞り込む必要がある.本研究では Android アプリの制御フロー解析の結果から生成されたグラフを過去のマルウェアと比較することで,新たに公開されたアプリの中から疑わしいアプリを自動的に抽出する方法を検討する.同一の機能をもっているメソッドであっても,コンパイル環境やソースコードの機能に影響を与えないような違いによって,異なる命令列が生成される場合がある.ゆえに制御フロー解析の結果のグラフの不要なノードを削除することでグラフを縮約させ,命令列の違いに依らない特徴を抽出した.また,ノードの並び順を決めることで可能な限り隣接行列の比較だけで済むようにグラフを正規化することで,グラフの比較の高速化をはかった.結果,自動的に定義ファイルを作成し,効率よく解析するべきアプリを絞り込むことができた.
著者
岩本 一樹 西田 雅太 和﨑 克己
雑誌
研究報告コンピュータセキュリティ(CSEC)
巻号頁・発行日
vol.2013-CSEC-62, no.60, pp.1-8, 2013-07-11

大幅に増加する Android のマルウェアを効率よく検出するために,我々は Android アプリの Dalvik のバイトコードを静的解析することでマルウェアを検出する方法を提案してきた.しかし我々が提案するバイトコードの静的解析だけでは,完全に新規に作成されたマルウェアやバイトコード以外にマルウェアとしての原因がある場合,たとえばネイティブコードや HTML + CSS + JavaScript でマルウェアが作成されているときには検出できない.マルウェアの検出率を高めるためには,我々のこれまでの提案と別の方法を組み合わせて,複数の方法でマルウェアの検出を試みる 1 つのシステムを構築する必要がある.そこでバイトコードを解析せずにマルウェアを検出する方法として我々が今回提案する Android アプリを配布する Web サイトのドメインからマルウェアを特定する方法に加えて,これまでに提案されたセカンドアプリを内包するアプリを見つける方法と署名情報を利用する方法について検証を行った.検証の結果,これらの方法でマルウェアを検出できる可能性を確かめることができた.
著者
西田 雅太 神薗 雅紀 星澤 裕二
雑誌
コンピュータセキュリティシンポジウム2012論文集
巻号頁・発行日
vol.2012, no.3, pp.28-35, 2012-10-23

Androidアプリケーションを配布するためには署名が必要となり,署名には通常「自己署名証明書」が用いられる.これゆえ,Androidアプリケーションの署名情報を確認することで,同一の証明書を使って署名されたものであるか否か容易に判定することが可能である.これを利用し,既知のAndroidマルウェアの証明書情報を蓄積することによって,ヒューリスティックにAndroidマルウェアを検知する要素技術のひとつとすることを提案する.また,提案手法の検証として,複数のAndroidマルウェアから署名情報を抽出し,提案手法の有効性や同一証明書の使用状況について調査する.
著者
神薗 雅紀 西田 雅太 小島 恵美 星澤 裕二
雑誌
コンピュータセキュリティシンポジウム2011 論文集
巻号頁・発行日
vol.2011, no.3, pp.474-479, 2011-10-12

近年の不正サイトは,マルウェアなどにより自動生成されたポリモーフィックなJavaScriptが利用され,他のURLに誘導する手法が多くみられる.著者らはこのようなJavaScriptの動的解析システムを開発したが,条件分岐やタイマー処理による遅延処理,さらにはイベント処理などにより期待した結果が一部得られないという動的解析技術の課題も存在した.そこで本稿では動的解析技術を用いずJavaScriptを分析するための新たな特徴点として,抽象構文解析木を用いる手法を提案する.そして,本手法の検証として,抽象構文解析木を用いて自動生成されたポリモーフィックなJavaScriptの検知および分類を行う.