アブストラクト

マルウェア対策研究人材育成ワークショップ 2008 (MWS 2008) では、併催しているコンピュータセキュリティシンポジウム 2008 (CSS 2008) と連携したプログラム構成をとっています。 また、研究者、実務者の交流の場として、CSS2008 キャンドルスターセッション (CSS×2.0)、CSS2008/MWS2008 懇親会を活用します。

日付 時刻 MWS2008 CSS2008
10/8(水) 12:10 - 13:50
(1:40)
セッションM1
攻撃通信データ
セッション1
14:05 - 15:45
(1:40)
セッションM2
攻撃通信データ
セッション2
16:00 - 17:00 招待講演1
18:00 - 20:00 キャンドルスターセッション (CSS×2.0)
10/9(木) 9:00 - 10:40
(1:40)
セッションM3
攻撃元データ
セッション3
10:55 - 12:35
(1:40)
セッションM4
攻撃元データ
セッション4
13:35 - 14:45 招待講演2
15:00 - 16:40
(1:40)
セッションM5
パネルディスカッション1
セッション5
16:55 - 17:55 デモセッション
18:30 - 21:00 MWS2008/CSS2008 懇親会
10/10(金) 9:00 - 10:40
(1:40)
セッションM6
マルウェア検体
セッション6
10:55 - 12:35
(1:40)
セッションM7
CCC活動報告
セッション7
13:35 - 14:55
(1:20)
セッションM8
パネルディスカッション2
セッション8
15:10 - 16:50
(1:40)
------------ セッション9

2008年10月8日

研究用データセット CCC DATAset 2008 の攻撃通信データを用いた、 感染手法の検知ならびに解析技術を中心としたセッション「攻撃通信データ」です。
セッションM1: 攻撃通信データ: 感染手法の検知ならびに解析技術の研究(1)
12:10 - 12:30 ワークショップ開催にあたって
12:30 - 13:50 発表 4件

 ワークショップ開催にあたって
  篠田陽一(北陸先端科学技術大学院大学、(独)情報通信研究機構)

 1001  シェルコード解析と分類による不正侵入防止システムへの適応可能性の評価
  齋藤彰一(名古屋工業大学)、上原哲太郎(京都大学)、下平哲也、松尾啓志(名古屋工業大学)

ある種のホストベース不正侵入防止システムでは,プログラムが実行するWindows API やシステムコールを監視し,異常な動作を検知することにより,マルウェアの侵入を防止している.多くのマルウェアは,まずシェルコードと呼ばれるシステムの脆弱性を利用する小さなプログラムを最初に侵入させる.このシェルコードがプロセスの制御を奪い,マルウェア本体を取り込む.この際,シェルコードが行う動作が異常検知の対象となる. 本稿では,そのような侵入防止システムの開発の基礎データとするため,研究用データセットCCC DATAset 2008 において収集された実際のシェルコードを解析,分類する.

 1021  研究用データセットにおける攻撃通信データによるマルウェア解析の一結果
  勝手壮馬、安本幸希(神戸大学)、曽根直人(鳴門教育大学)、森井昌克(神戸大学)

本調査解析ではハニーポットで捕らえられた通信データからマルウェアの実行ファイルを復元し,それらに対してバイナリデータの類似性による分類やメモリダンプによる静的解析を適用した.今回の解析により,UNKNOWNと分類されたいくつかのマルウェアは「脅威なし」と判定されるが実際にはマルウェア的な挙動を示すことが判明した.また類似性による分類を用いることでさらにいくつかの小グループへと分類可能であった.

 1008  DNS 通信の挙動からみたボット感染検知方式の検討
  東角芳樹、鳥居悟((株)富士通研究所)

ハニーポットが行う DNS 通信に着目し,研究用データセットCCC DATAset 2008 の攻撃通信データを解析した.ボットに感染し活動にいたる過程で発行されるDNS クエリの特徴を整理し,ネットワーク監視によるボット感染検知の実現可能性について考察した.その結果,さまざまなホストの名前や内部のホストの名前の解決を行なっているなど,従来にはない挙動が抽出できた.これらは,感染初期に固有の通信挙動であり,また,実行コードの解析では得られない,という点で有効な解析結果であると考える.

 1019  模倣DNSによるマルウェア隔離解析の解析能向上
  三輪信介((独)情報通信研究機構)、宮本大輔、櫨山寛章(奈良先端科学技術大学院大学)
  井上大介((独)情報通信研究機構)、門林雄基(奈良先端科学技術大学院大学)

ウィルス・ワーム・ボットなどのマルウェアの技術は日々進歩しており,その対策のためには,動作の検証・解析を行う必要がある.マルウェアの動作の検証・解析を行うためには,外部への感染や攻撃を避けるために隔離環境を用いることが必須である.しかし,最近のマルウェアには,隔離環境かどうかを判別する技術が導入されている.外部との接続性があるかや仮想環境上で実行されているかなどから隔離環境かどうかを判別し,隔離環境上では自身の実体の隠蔽や動作の停止などを行い,解析を困難にする対策を採っている.そこで,本稿では,マルウェアの隔離解析環境において,マルウェアによるリアリティチェックへの対策の一つとして模倣DNSサーバを導入し,その効果を検証した.

セッションM2: 攻撃通信データ: 感染手法の検知ならびに解析技術の研究(2)
14:05 - 15:45 発表 5件

 1009  通信の状態遷移に着目したボット活動の調査
  水谷正慶、武田圭史、村井純(慶応義塾大学)

本稿は複数のボットに共通する通信の状態遷移モデルに基づいてボットの活動を調査した,研究用データセットCCC DATAset 2008 の攻撃通信データにおけるボット活動に関する調査について述べる.ボットは従来のコンピュータウィルスと比較して短期間で亜種が発生し,各ボットの特徴が変化してしまう.しかし,多くのボットには共通した目的の動作の流れが存在するため,これを状態遷移として捉えられれば未知のボットの検知に利用できると考えられる.本稿ではボット感染直後の通信の状態遷移モデルを作成し,モデルに基づいてCCC DATAset 2008 を解析した.そして,ボットが通信などで失敗しない限り,モデルに沿って動作することを確認した.

 1017  パケット送受信における同調活動に着目した ボット感染ノードへの指令および反応活動の可視化
  仲小路博史、川口信隆、鬼頭 哲郎((株)日立製作所)
  小堀智弘、菊池浩明(東海大学)、寺田真敏((株)日立製作所)

近年,ボットの亜種の大量発生や,コードの難読化,通信の暗号化などによって,従来のIDSやウイルス対策ソフトなどの対策手法では防ぎきれない個体が増加傾向にある.特にネットワーク上での対策においては,暗号化通信による隠匿が大きな障壁となっており,パターンマッチングによらない検知手法の開発が課題となっている.本稿では,ボット感染ノードによる通信の「見える化」を試み,近年のボットの活動に現れる特有の事象を確認する.また,その事象を手掛かりにトラフィックからボットの活動と思しきパケットを抽出し,ボット感染ノードおよび司令サーバの推定を行う.

 1011  時系列分析による連鎖感染の可視化と検体種別の推測
  松木隆宏((株)ラック)

研究用データセットCCC DATAset 2008 の攻撃通信データと攻撃元データを重ね合わせた時系列分析によって,近年増加しているダウンローダ等を用いた連鎖感染の可視化とを検体の種類の推測を行う.これにより,解析の対象選定や優先度付け,連鎖感染マルウェアによる脅威の全体像の把握を試みる.

 1015  ボットネットの多段追跡システムの構想とCCC DATAset 2008 の利用手法
  三原元、名雲孝昭、芦野佑樹(東京電機大学)、上原哲太郎(京都大学)
  佐々木良一(東京電機大学)

近年,ボットネットによる被害が問題になっている.ボットネットは,ボットになってしまったPC を特定して隔離したとしても別のPC がボットになってしまい,根本的な解決にならない.著者らは,これの問題に対して,ボットネットによって被害を受けたPC が存在するネットワークと,ボットPC が存在するネットワークの管理者間で情報共有を行うことで,ボットPC,C&C(Command&Control)サーバ,そしてハーダーが操作するPC までを追跡する多段追跡システムの開発を構想している.本論文では,この多段追跡システムについて述べると共に,このシステムにおける,研究用データセットCCC DATAset 2008 を解析して得られたデータを元にした,C&C サーバの特定方法について述べる.

 1012  ボットネットおよびボットコードセットの耐性解析
  竹森敬祐、磯原隆将、三宅優((株)KDDI研究所)、西垣正勝(静岡大学)

ボットネットを制御する指令者は,ボットコード(以下,コードと呼ぶ)および指令の効率的な配布とボットネットの安定運用を図るために,中継サーバの並列化を図っている.また,Anti Virus (AV)の普及が進む中,多数のコードをPCに送り込むこと,一つのコードが指令の受信から攻撃の発信までの機能を持つことで単独で一連の処理を完結できること,駆除を逃れて残ったコードが新たなコードを取得すること,AV処理を妨害することなど,様々な工夫でボットの確保に努めている.本稿では,ネットワーク上での中継サーバの駆除に対するボットネットの耐性について,(i)中継サーバの並列化と(ii)コードの分散管理に着目して紹介する.また,PC内のボット駆除に対する耐性について,(iii)PCに送り込まれるコード数,(iv)コードの多機能性,(v) AV駆除後の残存コードの挙動,(vi) AV処理の妨害の仕組みについて紹介する.


2008年10月9日

マルウェア対策研究人材育成の視点からのパネルディスカッション(セッションM5)と、 研究用データセット CCC DATAset 2008 の攻撃元データを用いた、 ボットの活動傾向把握技術を中心としたセッション「攻撃元データ」です。
セッションM3: 攻撃元データ: ボットの活動傾向把握技術の研究(1)
 9:00 - 10:40 発表 5件

 1018  ウイルスのライフサイクルに着目した攻撃挙動の見える化
  小櫻文彦、津田宏、鳥居悟((株)富士通研究所)

研究用データセットCCC DATAset 2008 の攻撃元データの分析において、ウイルス名称が付与される前後の挙動変化に注目し、攻撃元や地域などとの関連を見える化することでウイルスの攻撃挙動と現状の対策について傾向を探る。

 1002  OLAP(多次元データ分析)を利用した攻撃元データの分析と検体の自動解析
  永田大、堀合啓一、田中英彦(情報セキュリティ大学院)

OLAP とは,BI などで利用されるデータを多次元に解析する手法である.本論では,研究用データセットCCC DATAset 2008 の攻撃元データをOLAP による分析を行い,分析の方法とその結果を考察する.また,筆者らはマルウェアの自動解析システムを構築し運用しているが,このシステムの概要と研究用データセットCCC DATAset 2008 のマルウェア検体の自動解析を行った結果についても報告する.

 1003  マルウェアの通信履歴と定点観測の相関について
  小堀智弘、菊池浩明(東海大学)、寺田真敏((株)日立製作所)

本研究の目的は,ボットに感染しているホストから攻撃されるポートスキャンのパケットがネットワーク上で分散観測している非対話センサーで得られるものと同一かどうかを明らかにすることである.我々はCCC DATASetとISDAS 観測センサーの統計的性質に基づき,与えられたパケットのペイロードを見ることなくポートスキャンの種類を機械的に同定する決定木を発見した.主要な結論は,ポートスキャンのやり方は感染したマルウェアに依存しないということである.

 1010  マルウェアの転送ログを利用したボットの活動分析
  金井瑛、水谷正慶、武田圭史、村井純(慶応義塾大学)

インターネット利用者のセキュリティを脅かすボットは,日々大量の亜種が出現している.また,高度な遮蔽技術が用いられることもあり,対策が困難である.ボットネット対策にはボットの特性や活動傾向を知ることが必要であるが,一般的なボットの特性はよく知られていない.本稿では,日本国内に設置したハニーポットのマルウェア転送イベントを用いて,マルウェアを配布しているノードの所属する国に着目した傾向分析を実施した.その結果,日本国内からの転送にはネットワークの利用形態やトラフィックの流量と深い関係があると分かった.また,特殊なマルウェアの配布元ノードを発見し,攻撃者がマルウェアの検知を避けているために常に新しいマルウェアを配布している様子を観測できた.

 1014  人間によるHoneypot の攻撃元ログ調査を支援するUser Interface の提案
  高田哲司((独)産業技術総合研究所)、小池英樹(電気通信大学)

本論文では,複数台のHoneypot により収集された攻撃元ログを対象とし,人間がそのログ情報を調査するためにはどのようなUser Interface(UI) が必要かについて検討した.我々はその答えとして,大域情報としての傾向情報の提供,情報視覚化による認知支援,段階的な調査方法の提供,そして対話機能による調査作業の簡易化の4 点が必要であるとし,その検討を基に,プロトタイプシステムMWLTBrowser を実装した.またこのプロトタイプシステムを用いたHoneypot ログの調査事例について述べ,提案するUI がログ調査を支援しうることを明確にした.

セッションM4: 攻撃元データ: ボットの活動傾向把握技術の研究(2)
10:55 - 11:55 発表 3件
11:55 - 12:35 マルウェア対策研究人材育成ワークショップへの期待

 1004  複数観測データを用いたボットネットの活動分析に関する一考察
  畑田充弘(NTTコミュニケーションズ(株))、寺田真敏(中央大学)

近年,様々な経路での感染活動や,大量のスパムメール送信,DDoS 攻撃,フィッシングサイト開設など,ボットネットに起因する不正行為が社会的問題になっており,その豊富な機能や高度な運用によって実態の把握が困難であるといわれている.ボットネットの活動傾向を把握するために,本稿では,不正行為に関わる複数の観測データを用いたボットネットの活動分析結果について報告する.

 1020  観測網の大小に基づく結果の比較とその差異に関する一考察
  永尾禎啓、鈴木博志、齋藤衛(IIJ)

広範な観測網による研究用データセットCCC DATAset 2008 の攻撃元データと、自社観測網による局所的な観測データを比較し、その差異について検討し考察を加える。

 1005  ダウンロードホストに着目したマルウェアの活動傾向分析
  石井宏樹、佐藤和哉、田端利宏(岡山大学)

近年,マルウェアの一種であるボットによる被害が問題となっている.これに対して,ネットワークを介したマルウェアの感染動作,およびボット感染時の情報に着目した研究が行われている.一方で,ダウンロードホストを重視した調査は少ない.本稿では,ダウンロードホストとマルウェアの関係,およびマルウェアの活動の特徴に着目し,研究用データセットCCC DATAset2008 の攻撃元データから分析したマルウェアの活動傾向について述べる.

 マルウェア対策研究人材育成ワークショップへの期待
  篠田陽一(北陸先端科学技術大学院大学、(独)情報通信研究機構)

セッションM5 パネルディスカッション1
15:00 - 16:40

タイトル:評価型ワークショップを用いたマルウェア対策研究
マルウェア対策研究の現状と課題、評価型ワークショップの活用方法などについて議論します。
コーディネータ:門林雄基(奈良先端科学技術大学院大学)
パネラ:
 小野寺匠(マイクロソフト(株))
 小山覚((株)NTTPC コミュニケーションズ)
 西垣正勝(静岡大学)
 寺田真敏((株)日立製作所)
 松浦幹太(東京大学)


2008年10月10日

3つの研究分野(3つの研究用データセット)を総括したパネルディスカッション(セッションM8)と 研究用データセット CCC DATAset 2008 のマルウェア検体を用いた、 検体解析技術の研究を中心としたセッション「マルウェア検体」です。 また、サイバークリーンセンター (CCC: Cyber Clean Center) が推進しているボット対策について、これまでの活動内容(セッションM7)を紹介します
セッションM6: マルウェア検体: 検体解析技術の研究
 9:00 - 10:40 発表 5件

 1006  コンパイラ出力コードモデルの尤度に基づくアンパッキング手法
  岩村誠、伊藤光恭(NTT情報流通プラットフォーム研究所)、村岡洋一(早稲田大学)

本論文では,パッキングされた実行ファイルからオリジナルコードを抽出する新たなアンパッキング手法を提案する.従来のページフォールトハンドラを用いた手法では,メモリアクセス監視の際にTLB を利用していたためその実装が不十分な仮想マシン上で動作させることは不可能であった.これに対し提案手法では,TLB への依存を無くし仮想マシン上での動作を実現した.さらに,多重にパッキングされた実行ファイルであっても,確率モデルを用いてコンパイラが出力したバイナリとしての尤もらしさを算出することで,オリジナルコードを特定可能にした.研究用データセットCCC DATAset 2008 のマルウェア検体による実験では,複数のオリジナルコードの候補を抽出するとともに,その候補からオリジナルコードを特定可能なことを示した.

 1022  自己ファイル READ/DELETE の検出によるボット検知の可能性に関する一検討
  酒井崇裕、長谷巧(静岡大学)、竹森敬祐((株)KDDI研究所)、西垣正勝(静岡大学)

ボットはPC内に潜伏するため,感染後のボットを探し出すことは一般的に難しい.よって,ボットの感染の瞬間を捕らえることが賢明であると考えられる.PCへの感染に注目した場合,ボットとワームの活動は近しいため,ワーム検知の手法をボット検知に流用することが可能であると期待できる.著者らは既にワームの感染を「自己ファイルREAD」の有無によって検知する方法を提案している.そこで本稿では,自己ファイルREADを検出することによって,ボットの感染時の検知が可能かどうか検討する.また,ボットのPCへの潜伏は,感染時に自分自身を隠蔽する挙動として観測される.したがって,本稿では「自己ファイルDELETE」についても,ボット感染時の特徴的な挙動の一つとして検討対象に加える.

 1007  ステルスデバッガを利用したマルウェア解析手法の提案
  川古谷裕平、岩村誠、伊藤光恭(NTT情報流通プラットフォーム研究所)

本稿では、高度なアンチデバッグ機能を持ったマルウェアを効率よく解析できるステルスデバッガを提案する。仮想マシンを利用しゲストOS の外側からデバッグ機能を提供し、仮想ハードウェアを操作することで従来のOS やCPU によるデバッグ支援機構には頼らないデバッグ機能を実現する。これにより、マルウェアが持つ様々なアンチデバッグ機能を無効化しつつ解析を行うことができる。さらにステルスデバッガではゲストOS 上で動作するプログラムの特徴的な命令列の実行に基づきプログラムをブレークさせるシグネチャブレークポイント機能を実装した。これによりマルウェアのオリジナルエントリポイントへジャンプする瞬間の処理を捉えアンパッキングに応用する手法を提案する。研究用データセットCCC DATAset 2008 のマルウェア検体を利用してステルスデバッガの各機能の評価を行った。

 1013  動的解析によるBOTコマンドの自動抽出
  星澤裕二、太刀川剛、岡田晃一郎((株)セキュアブレイン)

本稿では,文字列操作関連のAPI 呼び出しを監視および制御し,調査対象となるBOT のコマンドを取得する方法を提案する.BOT 対策を考える上で,BOT の感染時の挙動だけでなく,感染後,ハーダーからの指令によりどのような動作を行うかを知ることは重要である.静的解析によりコマンド受信後の動作を含むBOT の完全な挙動を把握することは可能であるが,短時間ですべての情報を得ることは難しい.また,多くの解析エンジニアを確保しなければ大量のBOT を処理することができない.本稿で提案するシステムでは,これらの問題を解決し,自動的に短時間でBOT コマンドを入手できるようにする.初期実験においては,BOT を制御するコマンドを自動的に抽出してBOT に送信し,各コマンド受信後のBOT の振る舞いを解析することが確認できた.

 1024  脆弱性を利用した標的型攻撃のための解析ツール
  鵜飼裕司、小林偉昭、中野学((独)情報処理推進機構)

近年、特定の企業・組織を標的とした標的型攻撃が深刻化している。しかし、近年の標的型攻撃はセキュリティ脆弱性を悪用する例が増加しており、かつ、耐解析機能が多数実装されているため、迅速かつ効率的な解析は困難である。有効な対策分析のためには詳細なコードの解析が不可欠であり、迅速かつ効率的な解析手法の開発が求められている。そこで本稿では、新しい標的型攻撃を迅速かつ安定的に分析を行うためのツール整備について提案する。まず、近年の標的型攻撃に実装されている代表的な耐解析機能を自動的に検出・除去する手法について述べる。次に、それら手法に基づき開発を進めているツールの機能概要と実装の終了した部品の機能評価について述べる。

セッションM7: CCC活動報告
10:55 - 12:35

 CCC 活動概要
  (財)日本データ通信協会 Telecom-ISAC Japan
    2006年12月に設立されたサイバークリーンセンターの現在までの活動内容を紹介します。

 CCC 各グループ活動報告
  (財)日本データ通信協会 Telecom-ISAC Japan
  JPCERTコーディネーションセンター
  (独)情報処理推進機構
    CCC 各グループの 2007 年度の活動内容を中心に、現在のプロジェクトの状況、
    日本国内のボット感染状況を報告します。

 CCC 調査研究報告
 ボットネットをとりまくシステムの長期観測データの解析および最新動向について
  須藤年章(NTTコミュニケーションズ(株))
    CCC の検証環境で観測、解析されたボットネットやスパム関連の最新のトピックスと、
    C&C やダウンロードサイトなどのボットネットに関連するシステム群について、
    長期にわたり多面的な着目点から追跡、調査解析した結果を報告します。

セッションM8: パネルディスカッション2
13:35 - 14:55

タイトル:研究用データセットからみえてきたこと
研究用データセットからわかったこと、研究用データセットの活用方法、今後の研究用データセットへの期待について議論します。
コーディネータ:有村浩一((財)日本データ通信協会 Telecom-ISAC Japan)
パネラ:
 岩村誠(NTT情報流通プラットフォーム研究所)
 竹森敬祐((株)KDDI研究所)
 鳥居悟((株)富士通研究所)
 畑田充弘(NTTコミュニケーションズ(株))