著者

嶋村 誠 河野 健二

雑誌

情報処理学会論文誌コンピューティングシステム(ACS) (ISSN:18827829)

巻号頁・発行日

vol.2, no.4, pp.48-63, 2009-12-17

---

遠隔から攻撃コードをネットワークを介して挿入するリモートコードインジェクション攻撃はセキュリティ上の大きな問題の 1 つである.これに対し,攻撃コードを検知・解析するシステムとして,ネットワーク・コードエミュレータが提案されている.ネットワーク・コードエミュレータでは攻撃コードの疑似実行を行うことにより,攻撃コードを精度良く検知したり,攻撃コードの振舞いを詳細に解析したりできる.また,攻撃コードを実行して解析を行うため,暗号化や難読化を施された攻撃コードにも耐性がある.本論文では,被害プロセスのメモリ上のデータを攻撃コードの一部として利用するメモリスキャン攻撃を用いると既存のネットワーク・コードエミュレータによる解析を妨害できることを示し,メモリスキャン攻撃も解析できるネットワーク・コードエミュレータである Yataglass+ を提案する.実際に Yataglass+ のプロトタイプを作成し,実際の攻撃コードにメモリスキャン攻撃を適用し実験を行った結果,Yataglass+ は正しくメモリスキャン攻撃を適用した攻撃コードを解析できた.