ここから本文です
研究室
情報セキュリティ研究室

情報セキュリティ研究室

コンピュータセキュリティシンポジウム2016(CSS 2016)参加報告

コンピュータセキュリティシンポジウム2016(CSS 2016)参加報告

会議名:コンピュータセキュリティシンポジウム2016 (CSS2016)

日時:2016年10月11日~10月13日

場所:秋田キャッスルホテル(秋田県秋田市)

主催: 情報処理学会 コンピュータセキュリティ研究会(CSEC)

共催: 情報処理学会 セキュリティ心理学とトラスト研究会(SPT)

参加者数: 607名

報告者:ISIT情報セキュリティ研究室 研究員:山本 幸二

【概要】

コンピュータセキュリティシンポジウム2016(CSS2016)は,10月11日から13日の3日間の会期で,最大6セッションがパラレルに催された.発表件数は192件,セッション数は55で,昨年の184件,52セッションよりもそれぞれ更に増加している.会期を通してセキュリティに関連する討議が行われた.

過去最多の参加者数(607名).たいへん賑わいました.
第2日夜の懇親会も379名が参加して盛況.様々な意見交換がなされていたようでした.
懇親会

特別講演は,下記の内容で行われ,会場は満席で,みなさんが聞き入っていました.

  • 情報セキュリティと健康
    清水 徹男(秋田大学大学院医学系研究科精神科学講座)
  • Privacy Empowerment of Subjects in the Big Data Era: Verifiable and Co-utile Collaborative Anonymization
    Prof. Josep Domingo-Ferrer(Universitat Rovira i Virgili)

特別講演S-1特別講演S-2

【キャンドルスターセッション】

第1日(10月11日)に行われたキャンドルスターセッション(CSS×2.0)は例年同様,多数の参加者で盛り上がりを見せた.

  • 30名強の方が発表されてました。

【発表内容】(○印が講演者)

共同で研究を推進するケースが多い九州大学のみなさんの発表内容を報告します。

“筆画のクラスタリングを考慮した署名認証手法”
○西郷里 拓(九州大学大学院システム情報科学府),川本 淳平(九州大学),櫻井 幸一(九州大学大学院システム情報科学府研究院)

スマートフォン署名認証では,端末の大きさなどの制約により認証精度が課題の一つである.本研究では,漢字圏の利用者を対象に,永字八法という書道における考え方を取り入れた署名認証手法を提案.認証を行う人は事前に永の字からいくつかのクラスタを作成し,テンプレートの署名が一画ごとにどのクラスタに属するかを決めておく.認証の際には一画ごとにどのクラスタに入るかを判定し事前に決めたものと一致するかという要素と従来のデータ間距離を判定に用いる.使用するクラスタの属性の種類や数を最適に調整することで認証精度が向上することが確認できた.
質疑では筆圧の認証への影響度や,データ間距離をDTW以外を使用することを予定しているかなどの質問があったが,今後実験の必要があると認識していると回答した.

“分散処理によるOpenFlowを用いた端末非依存なネットワーク攻撃検知手法”
○宮崎 亮輔(九州大学),川本 淳平(九州大学),松本 晋一(公益財団法人 九州先端科学技術研究所),櫻井 幸一(九州大学)

ネットワークに接続する機能を持った組み込み機器に対して適用することが可能な攻撃検知手法として,OpenFlow とマルチエージェントシステムを組み合わせることでネットワーク攻撃を広く検知する手法を提案してきた.しかし 1 台の OpenFlow コントローラが 1 台のOpenFlow スイッチを制御する完全分散型の手法であったため,ネットワーク攻撃が行われた場合に,全てのコントローラから情報を収集しなければならず,通信の迂回や遮断等の迅速な対応や正確な検知が難しいという問題があったため,複数のコントローラ同士で適切な情報を共有することで,効率的な検知処理及び負荷分散を実現する手法を提案.
質疑では普通はルートにFWがあるから水平ポートスキャンでも分かるのではないかとの質問があり,本研究のモチベーションは,ABCDの処理をネットワーク側だけで行い,ソフトウェアを導入できないようなリソースの限られた端末に対しても,ABCDを提供することであった.その様なネットワークにおいては,GWやFWが想定されていない場合もあり,そういったネットワーク環境を想定していた.もしGWがあるネットワークであれば,それらと組み合わせることで,よりセキュアなネットワークを実現可能と考えていると回答した.

“コメントの親子関係を利用したネットいじめコメントの検出”
○李 子怡(九州大学大学院システム情報科学府),川本 淳平(九州大学),フォン ヤオカイ(九州大学大学院システム情報科学研究院),櫻井 幸一(九州大学大学院システム情報科学研究院)

ネットいじめをコメントとその返事の親子関係をスライド形式で捉え,ユーザ間のインタラクションを用いてネットいじめコメントを検知する.ネットいじめでは第三者は被害者を助ける行為を取る傾向であることから,各 SNS 利用者のニーズに応じたネットいじめ検知手法を提案.辞書ベースでは検知できない各被害者に対した特定話題のネットいじめコメントを抽出することが出来た.また,コメントの対象をユーザのみのものに絞ることで,ある話題への建設的な意見を排除でき,80.6% の正解率を得た.
質疑ではネットいじめコメントの判断方法を問われ,コメントを受け取る側の立場に立って,傷つくかどうかを判断基準としていると回答.コメントとして,ねっといじめを投稿する側を主体として分析しても面白いことが分かる.

【聴講内容】

”RESTful API のプロトコル規約に基づく 家庭用 IoT 機器向けネットワーク侵入防止システム”
横井 志帆(慶應義塾大学大学院),河野 健二(慶應義塾大学大学院)

家庭用 IoT 機器の不正アクセスを防止するため,家庭用 IoT 機器のゲートウェイに侵入防止機能 (NIPS) を実装する.NIPS はアプリケーション層プロトコル規約を厳密にチェックを行い,違反しているメッセージを破棄することを提案.
質疑でもコメントされたが ,ゲートウェイのIoT制御部とIoT機器のそれぞれのアプリケーションに実装されるべきメッセージチェック機能と,今回提案されたNIPSの機能は同等であるため,更なる検討が必要だと感じた.

“いわゆるスマートトイとスマートフォンとの接続形態に関す る調査(2016年7月現在)”
大坪 雄平(警察庁/情報セキュリティ大学院大学),三村 守(海上自衛隊幹部学校/情報セキュリティ大学院大学),田中 英彦(情報セキュリティ大学院大学)

市場にあるスマートフォンと連携するスマートトイについて,接続形態に関する調査報告であった.
質疑にてメーカ側のセキュリティに関するモチベーションがどの程度のものなのかが議論になった.トイに限らず新規にネットワークに接続されるようになったIoT機器は,開発者のセキュリティリスクに対する危機感が低く,コスト的にもバランスが取れないのではとの回答だった.

“オンライン CTF の運営の裏側~問題作成と攻撃対処~”
秋山 卓巳(はこだて未来大学),前田 優人(筑波大学),矢倉 大夢(筑波大学),森越 友祐(筑波大学大学院),竹迫 良範(リクルートマーケティングパートナーズ)

CTF を運営した経験を元に,問題作成時の注意点や,運営の失敗談等の報告.
質疑では,問題のアイデアや問題を作成し続けるモチベーションについて質問があり,報告者が参加者として問題を解いた時のアイデアを蓄積しておき,CTFを楽しむことが大切との回答だった.

“仮想デバイスへのリクエストフィルタの導入による ハイパーバイザの脆弱性回避”
小笠原 純也(慶應義塾大学),河野 健二(慶應義塾大学)

ハイパーバイザでは,仮想マシンに提供する仮想デバイスのエミュレーションを行うものの,実デバイスでは回路の特性上考慮する必要のない状態まで正確にエミュレートする必要があり,しばしば脆弱性の要因となる.エミュレーションの誤りに起因する脆弱性を事前に回避するために,デバイスの仕様に反する不正なリクエストを拒否するフィルタを提案.
質疑では,デバイス単位にフィルタを作成する必要があり,デバイスの種類を考えるとデバイス単位のフィルタの作成は現実的に困難なため,共通的に作成できるような検討を進めるようにコメントされていた.

“攻撃回避のためのファイル不可視化手法の提案”
佐藤 将也(岡山大学 大学院自然科学研究科),山内 利宏(岡山大学 大学院自然科学研究科),谷口 秀夫(岡山大学 大学院自然科学研究科)

セキュリティソフトウェアやプログラムの動作を記録する重要サービスは攻撃者にとって不都合であり無効化される可能性がある.これらの重要サービスを攻撃から保護するために,保護対象VMとファイル提供VMの2台構成でサービスを提供し,重要サービスに関連するファイルはファイル提供VMに配置することで,不可視化する手法を提案.

“フォールトトレランスを有するアタックレジリエントサーバの 構築とその性能評価”
佐野 史和(神奈川工科大学),岡本 剛(神奈川工科大学),Idris Winarno(豊橋技術科学大学),畑 良知(豊橋技術科学大学),石田 好輝(豊橋技術科学大学)

サイバー攻撃に対して回復力のあるレジリエントサーバを構築するために,異なる OS とサーバアプリケーションの実装の仮想マシン群で構成し,いずれか 1つの仮想マシンによりサービスを提供する.サイバー攻撃によりサービスが停止したら,他の仮想マシンに切り替える.これにより,1つの脆弱性が異なる OS やサーバアプリケーションの実装に影響しないことに基づく.着目点が面白く今後に期待したいところだが,構築,開発,試験など全てのことに倍以上のコストが係るため現実性をどのように見出すかが課題だと感じた.

“クルマをツナゲる新たなシステム・アーキテクチャに関する一考察”
田中 政志(NTT セキュアプラットフォーム研究所),伊藤 良浩(NTT セキュアプラットフォーム研究所),高橋 順子(NTT セキュアプラットフォーム研究所),大嶋 嘉人(NTT セキュアプラットフォーム研究所)

自動車と情報ネットワークとの融合により多種多様な自動車向けサービスが実現され始めている.自動車は,外部との接続やシステム全体の大規模化,複雑化により,セキュリティ等の面で新たな問題が生じると想定される.車を安心・安全・便利にツナゲて,新たなサービスを実現するための各種要件を整理し,通信事業者の観点からそれらに最適と考えられるシステムアーキテクチャを提案.今後,検討を進めて行くための議論を行うために整理したそうです.

“セキュアなリモートリプログラミング方式の実装”
溝口 誠一郎(株式会社KDDI総合研究所),竹森 敬佑(株式会社KDDI総合研究所),川端 秀明(株式会社KDDI総合研究所),窪田 歩(株式会社KDDI総合研究所)

コネクティッドカー時代において,車載ECU (Electric Control Unit) のセキュアなファームウェア更新は重要な課題である.車載ネットワークのアーキテクチャについて整理し,リモートリプログラミングの実装モデルについて提案を行った.また,UDS(Unified Diagnostic Services) に準拠したセキュアなリプログラミング手法について,その実装した.自動車の外向け/内向けのネットワークをどのように構築し,管理するかは,どの研究者も手探り状態でありこれからの検討課題だと感じた.

“車載通信向け通信シーケンス番号の再同期方式”
森田 伸義(株式会社日立製作所),井手口 恒太(株式会社日立製作所),萱島 信(株式会社日立製作所)

車載通信として利用されているCAN プロトコルにおける通信メッセージの改ざん対策として,アプリ層でのMAC を用いたメッセージ認証の仕様策定が進んでいる.リプレイ攻撃対策も考慮した従来のメッセージ認証方式では,通信メッセージとシーケンス番号に対するMAC を算出する.同方式は車載制御装置の電源消失等の異常によりシーケンス番号の同期ずれを引き起こし,通信メッセージを正しく認証できなくなる恐れがある.車載システムに異常が発生したとしても,メッセージ認証による通信が継続可能なように,新たに導入する異常用カウンタを用いた再同期メッセージにより,通信用シーケンス番号の同期回復を低コストで実現できたと報告.
質疑にて異常通信メッセージを発生させ,異常用カウンタをリセットさせることにより,攻撃しやすくなるため,メッセージ内に含まれない値を使用した方式の検討が必要なのではないかと指摘されていた.

“車載器とサーバ間の相互認証にIDベース暗号を用いた車載LANデータ収集システム”
金森 健人(広島市立大学大学院 情報科学研究科),江﨑 貴也(広島市立大学大学院 情報科学研究科),手柴 瑞基(広島市立大学 情報科学部),井上 博之(広島市立大学大学院 情報科学研究科/重要生活機器連携セキュリティ協議会(CCDS) 研究開発センター),小畑 博靖(広島市立大学大学院 情報科学研究科),石田 賢治(広島市立大学大学院 情報科学研究科

IoT 機器である車載器が車載LAN データをクラウドへ送信し,サーバで収集および解析するようなIoT サービスを想定する.サーバと車載器間の相互認証方式として,証明書ペアが不要な公開鍵暗号方式であるID ベース暗号を用いたシステムを提案し,シミュレーションにより有効性を評価した結果,IDベース暗号を用いた方が認証成立までに要する時間が短縮されることを確認した.
質疑では試験が複数車両から同時に認証が発生した場合を想定して実施されているが,そのようなシチュエーションは無いのではないかとコメントされていた.車両の場合,認証の開始タイミングや頻度を整理した上で何が課題になるか想定する必要があると感じた.

“IoTデバイスに対するDoS攻撃が出力信号に与える影響と対策に関する研究”
神内 良太(奈良先端科学技術大学院大学情報科学研究科),猪俣 敦夫(東京電機大学/奈良先端科学技術大学院大学情報科学研究科),新井 イスマイル(奈良先端科学技術大学院大学総合情報基盤センター),藤川 和利(奈良先端科学技術大学院大学総合情報基盤センター)

IoT に利用される機器に対して,DoS攻撃のようなデバイスの処理に影響を与える攻撃による負荷測定を行い,出力信号に与える結果を報告し,その原因と対策方法を議論する.
実験結果を見る限り負荷を与える前後で出力信号に差は無いのでデバイスの性能で出力信号は揺れているものと想定した.また,ネットワークアクセス処理を行うCPUバスと出力信号を制御するハードウェアブロックは分離されているような回答であったため,目的とした実験構成が構築できていないものと想定しました.

“Cordovaを利用したハイブリッドアプリケーションにおけるプラグインのアクセス制御方式”
工藤 直樹(岡山大学大学院自然科学研究科),山内 利宏(岡山大学大学院自然科学研究科)

Cordova では,デバイスの資源を利用するために,プラグインと呼ばれるインタフェースを提供している.悪意のある攻撃者がリパッケージと呼ばれる手法を用いて,プラグインを悪用するJavaScript コードをCordova アプリに挿入し,デバイスの資源の奪取や改ざんを行う攻撃が可能になる.また,これらの攻撃を防止するため,プラグインによるデバイスの資源へのアクセスを動的に制御する方式を提案し,その設計,実現方式,および評価結果について報告.評価結果,提案方式の適用によって,プラグインを悪用した攻撃を事前に検知と制御が可能.
質疑では,デバイスアクセスするプラグインが本来あるものなのか,悪意のあるものかがチェックできないのではとの質問に,チェック方法を検討中と回答していた.デバイスへのアクセスする順序などを判定する論理に加えるとチェックできるのではないかとのコメントも出ていた.

“新しいタイプの分散型SSHログインブルートフォース攻撃STBF の攻撃元数の推定”
齊藤 聡美(株式会社富士通研究所),武仲 正彦(株式会社富士通研究所),鳥居 悟(株式会社富士通研究所)

CSS2015 で報告した,1 拠点に対し 1 組のユーザ名/パスワードで 1 回のみのログイン試行が断続的に発生する,新しいタイプの分散型SSH ログインブルートフォース攻撃 (Brute force attacks with Single Trial, STBF) について,攻撃に使用された Botnet の規模を推定する.攻撃元 IP アドレスの重複数から,確率モデルを構築する推定方式と,2 種の Mark-Recapture 法を適用した推定方式を用い,実際の STBF データから攻撃元の推定実験を実施,比較を行った.その結果,STBF 攻撃には約 29000 の Botnet が利用されていると推定できる.
コメントとして,時間軸など調査観点を変えて同様の分析を行うと違うことが見えて来ないかとあった.また,攻撃は本当にランダムに行われているのかとの質問に対しては,分析した限りではランダムに行われていたと回答していた.

“Linuxコンテナ技術を利用したSSHハニーポットの提案と評価”
山本 健太(東京電機大学大学院 工学研究科 情報通信工学専攻 暗号方式・暗号プロトコル研究室),齊藤 泰一(東京電機大学)

ハニーポットとして,Linux コンテナ(OS レベル仮想化の技術)を使うことで,ファイルシステムの隔離やコンピューターリソースの制限を行うことができ,Docker を使うことで予め用意した Linux ファイルシステムを,コンテナとして起動,破棄が容易に行えるため,攻撃者にシステム内への侵入を許すような“やられ”サーバを運用するには最適である.Linux コンテナは通常の Linux が提供するシステムと同等の機能を提供でき,Linux コンテナを利用した SSH ハニーポットは,従来の Kippo や Cowrie のような低対話型 SSH ハニーポットよりも更に高度な攻撃情報や,自動化された攻撃だけでなく,手動による攻撃の情報収集にも有効な手段になり得ることが確認できた.
質疑では,攻撃者は何でも入れると来てくれないこともあるので考慮した方が良いとか,root権限を取得させるような仕組みを持たせるともっと面白い情報が収集できるとコメントがあった.本システムについては,オープンソースとして後日公開すると言っていた.

“未知の不正Webサイト判別のためのIPアドレスクラスの特徴分析”
金澤 しほり(公立はこだて未来大学大学院 システム情報科学研究科),中村 嘉隆(公立はこだて未来大学 システム情報科学部),稲村 浩(公立はこだて未来大学 システム情報科学部),高橋 修(公立はこだて未来大学 システム情報科学部)

未知の不正 Web サイトの判別を行うために,IP アドレスクラスのネットワークアドレス部の特徴を分析し,交差検定によって評価した.IP アドレスクラス A と B では,高精度の結果が得られたことから,ネットワークアドレス部を用いた判別は,有効であることが確認できた.
コメントとして,クラスAは最近使用開始されたクラスが多いなどのクラス毎の特徴を考慮した分析を行うと良いのではないかとアドバイスがあった.

“日本年金機構サイバー攻撃事案におけるサイバーキルチェーン分析”
森 滋男(情報セキュリティ大学院大学),天野 純一郎(情報セキュリティ大学院大学),岡田 周平(情報セキュリティ大学院大学),桑田 雅彦(情報セキュリティ大学院大学),大坪 雄平(情報セキュリティ大学院大学),水越 一郎(情報セキュリティ大学院大学),後藤 厚宏(情報セキュリティ大学院大学)

2015 年に発生した日本年金機構のサイバー攻撃事案をサイバーキルチェーン(Cyber Kill Chain)にしたがって,分析を行った結果の報告.
運用面での問題検出が明確になり,今後の感染拡大を防止するためのマニュアル策定などに効果がでると感じた.

“IoT機器へのTelnetを用いたサイバー攻撃の分析”
中山 颯(横浜国立大学),鉄 穎(横浜国立大学),楊 笛(横浜国立大学),田宮 和樹(横浜国立大学),吉岡 克成(横浜国立大学大学院環境情報研究院/先端科学高等研究院),松本 勉(横浜国立大学大学院環境情報研究院/先端科学高等研究院)

本研究ではIoT機器のTelnetインターフェースに対し多数の攻撃が行われている点に注目し,Telnet ログインの際に得られる ID/パスワード情報とログイン後に使用される シェルコマンド系列を分析することで,攻撃ホストの感染マルウェアの推定を行い,さらに攻撃対象となっている IoT 機器の増加を示した.
質疑ではID/パスワードが攻撃者間で共有がされていないか,ID/パスワードの組合せに特徴的な偏りが無いか,など活発に質問が行われていた.また,ログイン失敗時の再試行シーケンス当も情報を取得すると良いのではないかとのコメントが行われていた.興味深く今後の報告が楽しみな研究であった.

“重要インフラ事業者向けサイバー攻撃関連情報共有システムの提案”
平井 達哉(株式会社 日立システムズ),関口 悦博(株式会社 日立システムズ),角田 朋(株式会社 日立システムズ),佐々木 慎一(株式会社 日立システムズ),光武 健二(株式会社 日立システムズ),本川 祐治(株式会社 日立システムズ),丹京 真一(株式会社 日立システムズ)

サイバー攻撃やそれらへの対策に関する情報の組織,分野を越えた迅速な共有を行うためのシステムを提案.

“Js-Walker: JavaScript API hookingを用いた解析妨害JavaScriptコードのアナリスト向け解析フレームワーク”
柴田 龍平(NTTセキュリティ・ジャパン株式会社),羽田 大樹(NTTセキュリティ・ジャパン株式会社),横山 恵一(NTTセキュリティ・ジャパン株式会社)

組織において Drive-by Download 攻撃によるマルウェア感染のインシデントが発生した場合,攻撃に使用された JavaScript を解析することがある.このような JavaScript には難読化などの解析妨害が施されている.従来手法では特定の条件でのみ発動する転送先URLの抽出やその条件の特定を行う上で手動での解析が必要であった.本研究では,JavaScript API hooking により実行環境を偽装して動的解析することで,難読化を解除したコードと特定の条件でのみ発動するリダイレクト先のURLを抽出する手法を提案.改善の余地が存在するものの,複数の Exploit Kit 検体の解析において既存手法を上回る URL を自動で抽出できることができた.また,提案手法で解析環境を偽装し,実行結果を変化させられることができた.
質疑にて従来手法と比較してどこが良いのかなどを質問されていたが,ユーザエージェントを偽装してユーザの動作環境に近い形で実行できることを良い点だと回答.

“Exploitに対するWAFシグネチャ自動生成の研究”
越智 勇貴(NTTセキュアプラットフォーム研究所),安部 剛(NTTセキュアプラットフォーム研究所)

公開サーバで使われるソフトウェアの脆弱性を狙った攻撃に対して Web Application Firewall(WAF)は有効な対策の一つである.近年,WAF の検知ルールであるシグネチャを自動的に生成する技術が求められている.本研究では形態素解析,Longest Common Subsequence(LCS)を利用し,脆弱性を突く文字列(exploit)の特徴を抽出しシグネチャを生成する.結果,シグネチャ作成に使用した攻撃コード以外の,同じ脆弱性をつく別の攻撃コードも検知可能なシグネチャ自動生成を可能にした.また,本方式を応用し Web 空間から同じ脆弱性を突く別の攻撃コードを自動抽出することを可能にしたと報告.
質疑ではWAFは誤検知が多いと言われているがどうかとの質問に対して,対策する脅威の対象を限定することで誤検知を無くすことを考えているとの回答だった.その他質疑でもいろいろと課題が指摘されていたが,課題があることを分かった上で,少しでも脅威を減らしたいとの意気込みが感じられる報告だった.

“Drive-by Download攻撃検知手法の継続的評価とExploit Kitに対する考察”
小林 峻(株式会社PFU),寺田 成吾(株式会社PFU),瀬戸口 武研(株式会社PFU),道根 慶治(株式会社PFU),山下 康一(株式会社PFU)

ネットワーク通信を監視し,正規アプリケーションには見られない特有の通信挙動を示すことに着目することで,攻撃者およびマルウェアに察知されることなく Drive-by Download 攻撃(以下,DbD 攻撃)による感染端末を検出する手法を過去に提案した.年々高度化が進むサイバー攻撃の分野においては,対策手法が有効であるか継続して評価していく必要がある.そこで本稿では,最近の DbD 攻撃を含むトラフィックデータを用いて,あらためて本検知手法の評価を行ない,その評価結果を基に攻撃手法についてネットワークトラフィックの観点から分析し, 攻撃者の利用する Exploit Kit に関する巧妙な偽装技術の知見を報告.①Flash Player の脆弱性を攻撃するパターンが検知できなかったこと.②Exploit Kitは巧妙化しており,あらためて分析するとHTTPリクエストヘッダの攻撃通信を見分けるポイントが以前よりずっと少なくなっていること.
質疑では評価に使用したデータは今回の Flash の偽装に関する情報はあったかとの質問に対して,把握できていなかったが集まったデータの中では Flash に関するものが多かった.

“AmpPotを活用したDRDoS攻撃対応早期化の取り組み”
蒲谷 武正(KDDI株式会社),千賀 渉(KDDI株式会社),村上 洸介(株式会社KDDI総合研究所),牧田 大佑(国立大学法人横浜国立大学/国立研究開発法人 情報通信研究機構),吉岡 克成(国立大学法人横浜国立大学),中尾 康二(KDDI株式会社/国立研究開発法人 情報通信研究機構)

「国際連携によるサイバー攻撃の予知技術の研究開発」プロジェクトにおいて開発した,DRDoS (Distributed Reflection Denial-of-Service)攻撃を早期検知する AmpPot から得られるアラート情報を早期警戒情報として運用者へリアルタイムで提供する事で,ネットワーク障害時の早期原因把握に資すると共に,DoS 攻撃への対応早期化において有効であることを報告.
質疑ではアラート情報を出力するための閾値によりアラート発令までの時間が決定されるが,閾値をどの程度に設定するのが良いなどの知見について質問され,閾値を変動させることの評価は実施していないと回答.

“CDNを回避する攻撃のDRDoSハニーポットによる実態調査”
西添 友美(横浜国立大学大学院環境情報学府),牧田 大佑(情報通信研究機構/横浜国立大学大学院環境情報学府),吉岡 克成(横浜国立大学大学院環境情報研究院/横浜国立大学先端科学高等研究院),松本 勉(横浜国立大学大学院環境情報研究院/横浜国立大学先端科学高等研究院),Michel van Eeten(横浜国立大学先端科学高等研究院/デルフト工科大学)

DDoS 攻撃対策として CDN が注目を浴びているが,CDN で防御されているはずの配信元サーバを特定できる場合があることが指摘されている.本研究では,CDN を回避して配信元サーバを直接狙う攻撃の実態を調査した.配信元サーバを特定するツールを分析したところ,いずれもサブドメインの名前解決により配信元サーバを探索していることがわかった.次に,DRDoS ハニーポットが 2016 年 1 月から 7 月までに観測した DRDoS 攻撃を調査した結果,2,089 件の攻撃が配信元サーバ宛であった. CDN を導入するだけでなく,配信元サーバの特定を防ぐことが DDoS 攻撃対策には不可欠である.
一般的に配信元サーバが特定されないように設定することが推奨されているが,有名サイトでも設定ができていない場合があるため,警鐘として報告されていると感じた.

“DoSリフレクション攻撃の分析と防御法”
野口 大貴(早稲田大学),後藤 滋樹(早稲田大学)

ハニーポットで観測された DRDoS 攻撃のクエリパケットの時系列分析を行う.分析により攻撃クエリの検知に有用な時間の閾値を定める.この閾値を防御機構に組み込んでネットワークに内在するリフレクターの攻撃活動への加担を防ぐ手法を提案する.防御の方法は OpenFlow スイッチング技術による防御ネットワークを構築し,疑わしいクエリパケットの経路情報を活用して送信元情報の詐称を判定してフィルタリングを行う.この提案手法を実装した場合の負荷実験を行い,ルータでフィルタリングしても高負荷になりにくいことを実証した.

“多種環境を用いた不正サイトの解析”
重本 倫宏((株)日立製作所),磯部 義明((株)日立製作所),仲小路 博史((株)日立製作所)

ドライブバイダウンロードに用いられる不正サイトは,接続してきた環境に応じて応答を変化させる不正サイトが存在し,適切な解析環境を用意しなければ不正サイトを解析できないという課題が存在する.本報告では,解析環境を変化させながら不正サイトへ接続し,このような不正サイトの解析に有効に動作する解析環境を考察した.さらに,実環境を用いた評価実験により,多種環境を用いた不正サイト解析の有効性が確認できた.
質疑では,環境の考慮観点としてプラグインの状況や,アクセス元のIPアドレス,重要性の観点としてシェアなど考慮する必要がある要素について質問され,考慮の必要があるため今後検討していくとの回答であった.また,攻撃者の傾向としてシェアの高い環境や,脆弱性の多い環境を狙うなどの傾向が見られるかについては,現状判定をできる情報を取得できていないとの回答であった.

“リンク構造を用いた悪性Webサイトの検知法”
伊藤 大貴(神戸大学),永井 達也(神戸大学),高野 泰洋(神戸大学),神薗 雅紀(PwCサイバーサービス合同会社),毛利 公美(岐阜大学),白石 善明(神戸大学),星澤 裕二(PwCサイバーサービス合同会社),森井 昌克(神戸大学)

Web サイトの閲覧によるマルウェア感染が多発しており,悪性 Web サイトの脅威が深刻化している.攻撃者は頻繁に Web サイトを更新し,未知の悪性 Web サイトを新たに生成しうる.従って,被害を未然に防ぐことは容易ではない.悪性Web サイトのリンク構造には互いに類似性があると想定し,リンク構造を用いた悪性Web サイト検知法について検討する.提案手法では,ニューラルネットワークを用いた教師付き学習によって悪性 Web サイト を検知する.最も単純な 3 層のニューラルネットワークで,Web クローラーを用いて収集した実際のリンク構造データを用いたときの悪性 Web サイトの正解率は 82%であった.
質疑にて,特徴的なリダイレクトがあっても,隣接リンクで平均化されてしまうため,他の研究を参考に検知手法や,リンクの種類を入口,中間,出口とグルーピングして評価を行うと,正解率がを向上するのではないかとコメントされていた.

“画像局所特徴量を利用したフィッシングサイト検知手法の実装と評価”
高橋 啓伸(岩手県立大学大学院),小倉 加奈代(岩手県立大学),Bhed Bahadur Bista(岩手県立大学),高田 豊雄(岩手県立大学)

フィッシングサイトと模倣元サイトの中から部分的に共通するデザインの画像データベースを作成し,アクセスサイトのキャプチャ画像とデータベース画像の画像局所と特徴量からフィッシングサイトかどうかを判定する手法を提案し,実装していた.試験結果,フィッシングサイトを 88.5 %の精度で正しく検出でき,提案手法の有効性が報告された.
ホームページのロゴと協賛やリンクのロゴがあり,レイアウトを考慮した判定手法を用いると誤検知率が下がるのでは無いかとコメントされていた.

【デモンストレーション(ポスター)内容】

“サーバでのパスワード管理や専用の認証デバイスが不要で強固な認証システム”
永井 彰(NTTセキュアプラットフォーム研究所)

現在は信頼の起点が単一CA局であるためハッキングされることを考慮する安全性に懸念があり,危険分散を行うために複数の鍵発行局より発行された秘密鍵を組合わせることを提案.パスワード認証に対して,端末にて保持している秘密鍵情報とPIN情報を組合わせてIDベースの認証を行うことにより,ユーザのオペレーションはほぼ従来のまま,サーバ側ではユーザのパスワード情報の管理が不要となり,端末とPINによる多要素認証を特徴とするシステムをデモ展示していた.本システムは全コードが公開されており,Apache Milagro incubationgプロジェクトとして普及活動を実施.興味深い提案であり,普及状況をチェックして行きたい.

“システムコールトレースログと通信ログの結合によるマルウェア解析支援”
大倉 有喜(立命館大学)

システムトレースログと通信ログのパターンマッチングを行いイベントの発生を時系列に並べることで,マルウェア感染経路の特定などを行うための支援ツール.現状は,再現環境において再現して解析を実施しているとのことであった.感染を検知するに膨大のサイズの通信ログをどのように扱うか,通信ログが暗号化されている場合の解析をどうするかなどの課題に着手してもらいたい.

“マルチモーダル人工物メトリクスの提案”
實川 康輝(工学院大学)

人工物に対して物理的特性が異なる 2 つ以上の特徴情報を持たせることで,当該情報を用いて個々の人工物の真正性をより高い精度で検証する技術を提案.具体的にはキャッシュカードやクレジットカード等の合成樹脂によって形成された人工物に対して, 2 つの特徴情報(電気特性,光学特性)を持たせる技術を展示していた.コピー被害などが発生する中,有効な技術だと考えられるため今後の動向が楽しみである.