ここから本文です
研究室
情報セキュリティ研究室

情報セキュリティ研究室

第33回 電子情報通信学会 ICSS研究会報告

第33回情報通信システムセキュリティ(ICSS)研究会

場所: 京都大学学術情報メディアセンター

開催日: 2016年3月3日~4日

主催: 電子情報通信学会 情報通信システムセキュリティ(ICSS)研究会

情報処理学会 セキュリティ心理学とトラスト(SPT)研究会

報告者: 松本研究員

 

[発表]

“デジタルフォレンジクスへのAI技術の適用の現状と課題”,  ○松本晋一(九州先端科学技研)・櫻井幸一(九大)

Q.Social Mediaのフォレンジクスが実用化されるには?
A.e-Discoveryは高額の訴訟に関連することから実用化/ビジネス化が進んでいる.Social Mediaについても社会の要請が後押しになるだろう

Q.偽データについて
A.Drexel大の研究については,偽データとして集めたテキストを入れ,予め真偽がはっきりしているものを対象としている.TweetCredについては,Croudsourcingで,即ち人手で判定している.

Q.(座長)Social Mediaのフォレンジクスが必要となるケースは?
A.著者不明の文書について,だれが書いたものか明らかにする,などが考えられる

 

[聴講内容]

“組込み機器への攻撃を観測するハニーポットIoTPOTの機能拡張”,  ○鈴木将吾・インミン パパ・江澤優太・鉄 穎・中山 颯・吉岡克成・松本 勉(横浜国大)
  • Telnetを標的とする攻撃の激増
  • ポート#23, #80で接続可能な組み込み機器
  • 24H常時稼働,Anti-Virusが不十分,など
  • 検出用HoneyPot(IoTPoOT)の構築
  • Telnet以外の攻撃について
    • 複数メーカのDVRに,設定ファイルを取得できてしまう脆弱性
    • ルータ機器に,バックドアから侵入可能な脆弱性

Q.(NTTセキュアプラット 秋山氏) 国によって攻撃元のばらつきに,機器との相関はあるか?
A.アルゼンチン,韓国に特徴がある

Q.(座長) IoTデバイスでどんな攻撃に用いられるかの内訳は?
A.感染拡大させDoS攻撃を行うものが大半

“ビル管理システムへのサイバー攻撃のハニーポットによる実態調査”,  ○鉄 穎(横浜国大)・清水孝一(三菱電機)・吉岡克成・松本 勉(横浜国大)
  • ビル管理システム(BACnet)に対する攻撃
  • BACnet用Honeypot “Honey Building”:Front responderにIoTPOTを使用
  • セキュリティ会社,研究組織からのアクセスが多 =>殆どが情報収集

Q.(NTTセキュアプラット 秋山氏) セキュリティ会社(Shodan, Sensis)に登録されているか?

A.登録されたことを確認している

Q.(座長) HTTP responderの設計は?

A.アクセスに対しユーザ認証画面を見せるが,何を入れてもloginできないようなページを表示する.色々できるようにするのは今後の課題である.

 

“Storage-Efficient and Low-Power Packet Classification for Internet of Things “,  ○Yuta Kitamura(Nagoya Inst. of Tech.), Masami Mohri(Gifu Univ.), Yoshiaki Shiraishi(Kobe Univ.)
  • IoTの中でも交通/運送のためのネットワークに関するパケット分類
  • リソース制約に対応するため,省メモリ/省電力性 <=> 高throughputが必要
  • 既存手法: TCAMを用いた方式, Decomposition,Tuple Space Search, 決定木ベース
  • LOUDSデータ形式: 順序木をビット列で表現

Q.消費電力評価におけるばらつきは?
A.消費電力に対する解析は今後の課題である
Q.この手法をIoT機器に適用する場合の難易度は?
A.RAMがあればC言語で実装できると思われる.
Q.(座長)Hypercutsの空間分割方法は工夫の余地がある?
A.工夫が必要になる.分割はリアルなデータの分布を考慮することになる

 

[招待講演]”これまでの研究を振り返って”, ○村山優子(岩手県立大)

  • 津田塾大~三菱銀行~YHP~University College London
  • 広島市立大~岩手県立大
  • Technical English講義について
  • 1983~1991年のinternet: ARPANET, Catenet, DARPA Internet, Internet
  • 学位課題: Configuration Detection and Verification in Computer Networks
  • セキュリティの目的 安心感: 安心と安全  システムが危険な時は不安感を持たせる
  • 精緻化見込みモデル 中心ルートによる処理/周辺ルートによる処理
  • 災害時のコミュニケーションの特徴:解決したい問題は同じだが,協調は難しい => trustが重要

 

“効率的なインシデントハンドリングを支えるフォレンジック収集基盤実現に向けた課題分析 “,  ○羽角太地・島 成佳・角丸貴洋(NEC)
  • サイバー攻撃における現状攻撃発覚から対処完了までの期間を短縮させるためのインシデントハンドリングについて
  • 問題の定式化が困難,組織によりインシデントハンドリングの目的が異なるなどの問題
  • ヒアリングを元に問題整理
  • ヒアリング結果から課題を三つに分類
    • ログに関する課題
    • 分析官の業務に関する課題
    • 体制とセキュリティ意識に関する課題
  • 部署の独立性の高さが,サイバーインシデントの全容解明の妨げになる
  • インシデントハンドリングの効率化のためには収集,分析,共有の要件を持つシステム基盤が必要

Q.ヒアリング対象5名の所属は?
A.営業職1名,技術職3名は同一組織,1名だけ別組織
Q.(村山先生) 質問内容から設計する方法論が参考になるでしょう.

 

“隠れマルコフモデルに基づくROPチェーン静的検知手法”, ○碓井利宣・幾世知範・岩村 誠・矢田 健(NTT)
  • 悪性文書ファイルの攻撃コードは,シェルコードとROPチェーンで構成.
  • ROPチェーンは必ず文書内に内包される.
  • ROPチェーン構成にマルコフ性を仮定し,バイト列,文書,ROPチェーン構成要素の関係をHMMで表現
  • HMMに対しビタビアルゴリズムを用いラベル付け
  • 既存手法ではアライメント条件を仮定しているのに対し,当該手法ではアライメントが崩れる構造でも検知可能

Q.(NICT中里氏)検知率はファイルのサイズに依存する?
A.検知率自体はファイルサイズに依存しない.
Q.(日立渡邊氏)ROPチェーンは普通のファイルに現れるものか?
A.画像ファイルが似た形式になるものと考えている.

 

“プロセスの出現頻度や通信状態に着目した不審プロセス判定”, ○中里純二・津田 侑・衛藤将史・井上大介・中尾康二(NICT)
  • 日本年金機構の事例(NISC調査結果報告より)
  • 標的型攻撃時,感染したユーザのみ動作しているプロセスが存在する
  • プロセス特徴量の定義: プロセス実行頻度,実行ユーザ割合,実行日数割合を元に定義
  • Google Chromeなど,ユーザ毎に実行パスが異なるプロセスが存在
    • => 通信特徴量(同一プロセスの通信頻度,待ち受けプロセス頻度など)を追加
    • => 稀に起こる通信が特徴量大

Q.長期間観察する方式だが,短縮する方法は?
A.懸念のあるプロセスを早期洗い出す方式はある.FPとの兼ね合いともなる

 

“マルウェア感染ホストが生成する通信の弁別手法”, ○水野 翔・畑田充弘・森 達哉・後藤滋樹(早大)
  • マルウェア感染後の対策として,感染端末発見のために通信トラヒック識別手法を扱う
  • HTTPトラヒックを抽出,TCPセッション毎にValue部分をバイト数に変換
  • 正常通信で用いられるフィールドの種類は非常に多い
  • 統計的フィルタ: カイ二乗検定,オッズ比95%信頼区間
    • 悪性通信に多く用いられるフィールド,良性~フィールドを特定
  • スパース学習  L1正則化付きロジスティック回帰を利用 => 特徴量削減

Q.二つの組み合わせを使ったのは?
A.統計的フィルタとスパース学習で特徴量を減らすことができている

 

“ダークネットトラフィック解析による学習型DDoSバックスキャッタ検出システム”, ○宇川雄樹・北園 淳・小澤誠一(神戸大)・班涛・中里純二(NICT), 島村隼平(クルウィット)
  • ダークネット向け攻撃トラヒックから生じるDDoSバックスキャタについて
  • 外れ値検出=>追加学習を実装し,検出率改善
  • 訓練データと監視者データの違い

Q.(座長)比較に用いた既存手法との違いには,ルールベースも追加されているが?
A.ルールベースの有無での実験は行っていない
Q.(座長)新たに発見された攻撃の事例などはあるか?
A.ゲームの通信を妨害する攻撃などが今回観測された.
Q.今回提案手法をスキャン分類にも使用できるか?
A.特徴量の見直しなどが求められると考える.ある程度スキャンにも適用できる見込みは立っている.