マルウェア対策研究人材育成ワークショップ 2008 (MWS 2008) では、併催しているコンピュータセキュリティシンポジウム 2008 (CSS 2008) と連携したプログラム構成をとっています。
また、研究者、実務者の交流の場として、CSS2008 キャンドルスターセッション (CSS×2.0)、CSS2008/MWS2008 懇親会を活用します。
研究用データセット CCC DATAset 2008 の攻撃通信データを用いた、
感染手法の検知ならびに解析技術を中心としたセッション「攻撃通信データ」です。
セッションM1: 攻撃通信データ: 感染手法の検知ならびに解析技術の研究(1)
座長:則武智 ((財)日本データ通信協会 Telecom-ISAC Japan)
12:10 - 12:30 ワークショップ開催にあたって
12:30 - 13:50 発表 4件
ワークショップ開催にあたって
篠田陽一(北陸先端科学技術大学院大学、(独)情報通信研究機構)
1001
シェルコード解析と分類による不正侵入防止システムへの適応可能性の評価
齋藤彰一(名古屋工業大学)、上原哲太郎(京都大学)、下平哲也、松尾啓志(名古屋工業大学)
1021
研究用データセットにおける攻撃通信データによるマルウェア解析の一結果
勝手壮馬、安本幸希(神戸大学)、曽根直人(鳴門教育大学)、森井昌克(神戸大学)
1008
DNS 通信の挙動からみたボット感染検知方式の検討
東角芳樹、鳥居悟((株)富士通研究所)
1019
模倣DNSによるマルウェア隔離解析の解析能向上
三輪信介((独)情報通信研究機構)、宮本大輔、櫨山寛章(奈良先端科学技術大学院大学)
井上大介((独)情報通信研究機構)、門林雄基(奈良先端科学技術大学院大学)
セッションM2: 攻撃通信データ: 感染手法の検知ならびに解析技術の研究(2)
座長:田中昭文 ((財)日本データ通信協会 Telecom-ISAC Japan)
14:05 - 15:45 発表 5件
1009
通信の状態遷移に着目したボット活動の調査
水谷正慶、武田圭史、村井純(慶応義塾大学)
1017
パケット送受信における同調活動に着目した ボット感染ノードへの指令および反応活動の可視化
仲小路博史、川口信隆、鬼頭 哲郎((株)日立製作所)
小堀智弘、菊池浩明(東海大学)、寺田真敏((株)日立製作所)
1011
時系列分析による連鎖感染の可視化と検体種別の推測
松木隆宏((株)ラック)
1015
ボットネットの多段追跡システムの構想とCCC DATAset 2008 の利用手法
三原元、名雲孝昭、芦野佑樹(東京電機大学)、上原哲太郎(京都大学)
佐々木良一(東京電機大学)
1012
ボットネットおよびボットコードセットの耐性解析
竹森敬祐、磯原隆将、三宅優((株)KDDI研究所)、西垣正勝(静岡大学)
マルウェア対策研究人材育成の視点からのパネルディスカッション(セッションM5)と、
研究用データセット CCC DATAset 2008 の攻撃元データを用いた、
ボットの活動傾向把握技術を中心としたセッション「攻撃元データ」です。
セッションM3: 攻撃元データ: ボットの活動傾向把握技術の研究(1)
座長:小門寿明 ((独)情報処理推進機構)
9:00 - 10:40 発表 5件
1018
ウイルスのライフサイクルに着目した攻撃挙動の見える化
小櫻文彦、津田宏、鳥居悟((株)富士通研究所)
1002
OLAP(多次元データ分析)を利用した攻撃元データの分析と検体の自動解析
永田大、堀合啓一、田中英彦(情報セキュリティ大学院)
1003
マルウェアの通信履歴と定点観測の相関について
小堀智弘、菊池浩明(東海大学)、寺田真敏((株)日立製作所)
1010
マルウェアの転送ログを利用したボットの活動分析
金井瑛、水谷正慶、武田圭史、村井純(慶応義塾大学)
1014
人間によるHoneypot の攻撃元ログ調査を支援するUser Interface の提案
高田哲司((独)産業技術総合研究所)、小池英樹(電気通信大学)
セッションM4: 攻撃元データ: ボットの活動傾向把握技術の研究(2)
座長:望月大光 ((独)情報処理推進機構)
10:55 - 11:55 発表 3件
11:55 - 12:35 マルウェア対策研究人材育成ワークショップへの期待
1004
複数観測データを用いたボットネットの活動分析に関する一考察
畑田充弘(NTTコミュニケーションズ(株))、寺田真敏(中央大学)
1020
観測網の大小に基づく結果の比較とその差異に関する一考察
永尾禎啓、鈴木博志、齋藤衛(IIJ)
1005
ダウンロードホストに着目したマルウェアの活動傾向分析
石井宏樹、佐藤和哉、田端利宏(岡山大学)
マルウェア対策研究人材育成ワークショップへの期待
篠田陽一(北陸先端科学技術大学院大学、(独)情報通信研究機構)
セッションM5 パネルディスカッション1
コーディネータ:門林雄基(奈良先端科学技術大学院大学)
15:00 - 16:40
タイトル:評価型ワークショップを用いたマルウェア対策研究
マルウェア対策研究の現状と課題、評価型ワークショップの活用方法などについて議論します。
コーディネータ:門林雄基(奈良先端科学技術大学院大学)
パネラ:
小野寺匠(マイクロソフト(株))
小山覚((株)NTTPC コミュニケーションズ)
西垣正勝(静岡大学)
寺田真敏((株)日立製作所)
松浦幹太(東京大学)
3つの研究分野(3つの研究用データセット)を総括したパネルディスカッション(セッションM8)と
研究用データセット CCC DATAset 2008 のマルウェア検体を用いた、
検体解析技術の研究を中心としたセッション「マルウェア検体」です。
また、サイバークリーンセンター (CCC: Cyber Clean Center) が推進しているボット対策について、これまでの活動内容(セッションM7)を紹介します
セッションM6: マルウェア検体: 検体解析技術の研究
座長:真鍋敬士 (JPCERTコーディネーションセンター)
9:00 - 10:40 発表 5件
1006
コンパイラ出力コードモデルの尤度に基づくアンパッキング手法
岩村誠、伊藤光恭(NTT情報流通プラットフォーム研究所)、村岡洋一(早稲田大学)
1022
自己ファイル READ/DELETE の検出によるボット検知の可能性に関する一検討
酒井崇裕、長谷巧(静岡大学)、竹森敬祐((株)KDDI研究所)、西垣正勝(静岡大学)
1007
ステルスデバッガを利用したマルウェア解析手法の提案
川古谷裕平、岩村誠、伊藤光恭(NTT情報流通プラットフォーム研究所)
1013
動的解析によるBOTコマンドの自動抽出
星澤裕二、太刀川剛、岡田晃一郎((株)セキュアブレイン)
1024
脆弱性を利用した標的型攻撃のための解析ツール
鵜飼裕司、小林偉昭、中野学((独)情報処理推進機構)
セッションM7: CCC活動報告
座長:高坂史彦 (JPCERTコーディネーションセンター)
10:55 - 12:35
CCC 活動概要
(財)日本データ通信協会 Telecom-ISAC Japan
2006年12月に設立されたサイバークリーンセンターの現在までの活動内容を紹介します。
CCC 各グループ活動報告
(財)日本データ通信協会 Telecom-ISAC Japan
JPCERTコーディネーションセンター
(独)情報処理推進機構
CCC 各グループの 2007 年度の活動内容を中心に、現在のプロジェクトの状況、
日本国内のボット感染状況を報告します。
CCC 調査研究報告
ボットネットをとりまくシステムの長期観測データの解析および最新動向について
須藤年章(NTTコミュニケーションズ(株))
CCC の検証環境で観測、解析されたボットネットやスパム関連の最新のトピックスと、
C&C やダウンロードサイトなどのボットネットに関連するシステム群について、
長期にわたり多面的な着目点から追跡、調査解析した結果を報告します。
セッションM8: パネルディスカッション2
コーディネータ:有村浩一((財)日本データ通信協会 Telecom-ISAC Japan)
13:35 - 14:55
タイトル:研究用データセットからみえてきたこと
研究用データセットからわかったこと、研究用データセットの活用方法、今後の研究用データセットへの期待について議論します。
コーディネータ:有村浩一((財)日本データ通信協会 Telecom-ISAC Japan)
パネラ:
岩村誠(NTT情報流通プラットフォーム研究所)
竹森敬祐((株)KDDI研究所)
鳥居悟((株)富士通研究所)
畑田充弘(NTTコミュニケーションズ(株))