マルウェア対策研究人材育成ワークショップ 2018 (MWS2018) は、サイバークリーンセンター ハニーポット（※1）で収集しているボット観測データ、 研究者コミュニティから提供されたデータを「研究用データセット」として活用するワークショップです。 研究者コミュニティから提供されたデータは、MWS2010 から新たな試みとして開始しました。

「研究用データセット」を活用した研究として3つの分野を想定しています。

1. 検体解析技術の研究
2. 感染手法の検知ならびに解析技術の研究
3. ボットの活動傾向把握技術の研究

※1 「サイバークリーンセンター ハニーポット」はサイバークリーンセンター (CCC) の後継として、CCC 運営連絡会が引き続き運用しているハニーポットです。CCC 運営連絡会は、CCC の活動を民間主導で引き継ぐために設立された連絡会で、次の3組織から構成されています。

• 一般財団法人 日本データ通信協会 テレコム・アイザック推進会議 (Telecom-ISAC Japan) ※現 ICT-ISAC Japan
• 一般社団法人 JPCERTコーディネーションセンター (JPCERT/CC)
• 独立行政法人 情報処理推進機構 (IPA)

開催の目的

インターネットのセキュリティインシデント全般が見えにくくなっています。背景のひとつに、活動を見えにくくするためのマルウェア機能の高度化や運用が挙げられます。このような状況下で、セキュリティインシデントの発生に迅速に対処するためには、先端的な研究者だけではなく、企業のネットワーク技術ならびにセキュリティ技術を開発する実務者もマルウェアに関する専門知識を備えていく必要があると考えています。

本ワークショップは、研究用データセットの提供、研究成果の共有ならびに切磋琢磨する環境の提供を通して、マルウェアに関する専門知識を備えた研究者／実務者を育成していくことを目的としています。

• 研究用データセットの提供
  トラヒック分析技術やマルウェア分析技術を研究／評価するための適切な素材を準備し、研究者(学生、ネットワーク技術ならびにセキュリティ技術を開発する実務者)に提供することで、以下の二点を実現します。
• 研究成果の共有
  同じ研究用データセットを用いて行った研究成果を本ワークショップで発表し、研究者間で共有することで、より具体的な成果の水平展開を図り、セキュリティ研究人材育成につなげます。
• 切磋琢磨する環境の提供
  同じ研究用データセットに基づく研究内容を共有することで、具体的なスキルアップ目標や、先進的な研究テーマの発見など、研究者の評価育成の場を形成します。

さらに、ワークショップ開催を研究用標準データを対象とした研究の立ち上げトリガにしたいと考えています。

研究用データセットの提供 ～研究成果の共有～
切磋琢磨する環境の提供

マルウェア対策研究人材育成ワークショップ MWS2018 では、以下のデータセットを「研究用データセット」として活用します。

• BOS 2014～2018
  総務省実証事業「サイバー攻撃解析・防御モデル実践演習の実証実験の請負」にて実施し、研究者コミュニティから提供された組織内ネットワークへの侵害活動を観測したデータ
• FFRI Dataset 2013～2018
  株式会社 FFRI で収集したマルウェアの動的解析ログ
• NICTER Dataset 2013～2018
  サイバー攻撃観測・分析・対策システム NICTER で収集したダークネットトラフィックデータ、メールサーバに届いたダブルバウンスメールのデータ
• Soliton Dataset 2018
  エンタープライズ向け EDR 製品 InfoTrace Mark II for Cyber で収集したマルウェア動作ログ
• CCC DATAset 2008～2013
  マルウェア検体を収録したボット観測データ群であり、CCC 運営連絡会が運用するサイバークリーンセンターハニーポットで収集したマルウェア検体とウイルス対策ソフト 6製品での検知名をリスト化したデータ
• D3M (Drive-by-Download Data by Marionette) 2010～2015
  研究者コミュニティから提供された Web 感染型マルウェアデータ
• NCD in MWS Cup 2014
  MWS Cup 2014 会期中に収集したホワイトデータセット
• PRACTICE Dataset 2013
  総務省「国際連携によるサイバー攻撃予知・即応に関する実証実験」（略称：PRACTICE）の挙動観察システムで、マルウェアを長期観測した際の通信トラヒック（マルウェア感染後の通信挙動）を示すデータ
• PRACTICE (AmpPot) Dataset 2015
  インターネット上のオープンなサーバ (DNS, NTP 等) を踏み台にして通信を増幅させることでサービス妨害を行う分散反射型サービス妨害攻撃 (DRDoS 攻撃) を観測したデータセット
• MWS Cup 2015、2016 参加チームのスクリプト＆スライド
  MWS Cup 2015、2016の参加チームによる発表スライドと課題を解くにあたって作成したスクリプト

本データセットの提供により、データセットを用いて研究開発した技術等の共有により人材育成を含む本研究分野の発展に寄与すること、データセット作成そのものが研究対象分野として立ち上がり研究活動をさらに発展させていくことを期待している。

また、MWS では「データセットの提供」のほか、「データの分析ならびに対策技術の研究」、「研究成果の共有」 からなるマルウェア対策研究のサイクルを継続的に回すことで、研究活動を推進してきました。「研究成果の共有」「切磋琢磨する環境」の具体的な活動の場として、情報処理学会で開催するシンポジウム CSS2018 を活用しています。

研究用データセット MWS Datasets 2018 について

マルウェア対策研究人材育成ワークショップ MWS 2018 で使用する研究用データセット MWS Datasets 2018 は、BOS, FFRI Datasets, CCC DATAset, D3M, NCD in MWS Cup, PRACTICE Dataset, PRACTICE (AmpPot) Dataset, Soliton Dataset から構成されたデータ群です。

MWS Datasets のまとめ

	MWS Datasets
	2008	2009	2010	2011	2012	2013	2014	2015	2016	2017	2018
CCC DATAset	✔	✔	✔	✔	✔	✔	－	－	－	－	－
MARS for MWS	*	*	*	－	－	－	－	－	－	－	－
D3M	－	－	✔	✔	✔	✔	✔	✔	－	－	－
IIJ MITF DATAset	－	－	－	－	*	－	－	－	－	－	－
PRACTICE Dataset	－	－	－	－	－	✔	－	－	－	－	－
PRACTICE (AmpPot) Dataset	－	－	－	－	－	－	－	*	－	－	－
FFRI Dataset	－	－	－	－	－	✔	✔	✔	✔	✔	✔
NICTER Dataset	－	－	－	－	－	✔	✔	✔	✔	✔	✔
BOS	－	－	－	－	－	－	✔	✔	✔	✔	✔
NCD in MWS Cup	－	－	－	－	－	－	✔	－	－	－	－
Soliton Dataset	－	－	－	－	－	－	－	－	－	－	✔

✔: MWS Datasets 2018に同梱している研究用データセット
*: 過去に同梱していたが、MWS Datasets 2018 には同梱していない研究用データセット

参考文献

MWS Datasets

• 高田雄太, 他: マルウェア対策のための研究用データセット ～ MWS 2018 Datasets ～, 情報処理学会, Vol.2018-CSEC-82, No.38, 2018年7月. [発表資料]
  （※MWS データセットを使用する場合は本論文を引用してください）
• 高田雄太, 他: マルウェア対策のための研究用データセット ～ MWS 2016 Datasets ～, 情報処理学会, Vol.2016-CSEC-74, No.17, 2016年7月.
• 神薗雅紀, 他: マルウェア対策のための研究用データセット ～ MWS 2015 Datasets ～, 情報処理学会, Vol.2015-CSEC-70, No.6, 2015年7月.
• 秋山満昭, 他: マルウェア対策のための研究用データセット ～ MWS 2014 Datasets ～, 情報処理学会, Vol.2014-CSEC-66, No.19, 2014年6月.
• 神薗雅紀, 他: マルウェア対策のための研究用データセット ～ MWS 2013 Datasets ～, 情報処理学会シンポジウムシリーズ, Vol.2013, CSS2013 (MWS2013), 2013年10月.
• 畑田充弘, 他: マルウェア対策のための研究用データセット ～ MWS 2011 Datasets ～, 情報処理学会シンポジウムシリーズ, Vol.2011, CSS2011 (MWS2011), 2011年10月.
• 畑田充弘, 他: マルウェア対策のための研究用データセット －MWS 2010 Datasets－, 情報処理学会シンポジウムシリーズ, Vol.2010, CSS2010 (MWS2010), 2010年10月.
• Mitsuhiro Hatada, Mitsuaki Akiyama, Takahiro Matsuki, Takahiro Kasama, "Empowering Anti-malware Research in Japan by Sharing the MWS Datasets," IPSJ Journal of Information Processing, Vol.23, No.5, pp.579--588, Sep. 2015.

CCC DATAset

• 畑田充弘, 他: マルウェア対策のための研究用データセットとワークショップを通じた研究成果の共有", 情報処理学会シンポジウムシリーズ, Vol.2009, No.11, CSS2009 (MWS2009), pp.1--8, 2009年10月.

MARS for MWS

• 三輪信介, 宮本大輔, 櫨山寛章, 井上大輔, 門林雄基, "模倣DNS によるマルウェア隔離解析環境の解析能向上", サイバークリーンセンター・情報処理学会, マルウェア対策研究人材育成ワークショップ2008 (MWS2008), 2008年10月.
• S. MIWA, T. MIYACHI, M. ETO, M. YOSHIZUMI, and Y. SHINODA, "Design Issues of an Isolated Sandbox used to Analyze Malwares," In proceedings of Second International Workshop on Security (IWSEC2007), LNCS 4752 Advances in Information and Computer Security, ISBN 978-3-540-75650-7, pp.13--27, Oct. 2007.
• S. MIWA, T. MIYACHI, M. ETO, M. YOSHIZUMI, and Y. SHINODA, "Design and Implementation of an Isolated Sandbox with Mimetic Internet used to Analyze Malwares," DETER Community Workshop on Cyber Security Experimentation and Test 2007 (DETER07), Aug. 2007.
• 三輪信介, 門林雄基, 篠田陽一, " 小規模攻撃再現テストベッドによる動作記録データセットの生成", サイバークリーンセンター・情報処理学会, マルウェア対策研究人材育成ワークショップ2009（MWS2009）, 2009年10月.

D3M

• Mitsuaki Akiyama, Kazufumi Aoki, Yuhei Kawakoya, Makoto Iwamura, and Mitsuataka Itoh, "Design and Implementation of High Interaction Client Honeypot for Drive-by-download Attacks," IEICE Transactions on Communication, Vol.E93-B No.5 pp.1131--1139, May. 2010.

NICTER Dataset

• K. Nakao, K. Yoshioka, D. Inoue, M. Eto, and K. Rikitake, "nicter: An Incident Analysis System using Correlation between Network Monitoring and Malware Analysis," In Proceedings of the First Joint Workshop on Information Security (JWIS 2006), Sep. 2006.
• D. Inoue, M. Eto, K. Yoshioka, S. Baba, K.Suzuki, J. Nakazato, K. Ohtaka, and K. Nakao, "nicter: An Inciden Analysis System Toward Binding Network Monitoring with Malware Analysis," In WOMBAT Workshop on Information Security Threats Data Collection and Sharing, pp.58--66, 2008.

BOS

• 寺田真敏, 青木翔, 楠美淳弥, 重本倫宏, 萩原健太, "研究用データセット「動的活動観測2014」の検討", 情報処理学会,マルウェア対策研究人材育成ワークショップ2014 (MWS2014), 2014年10月.
• 寺田真敏, 堀健太郎, 成島佳孝, 吉野龍平, 萩原健太, "研究用データセット「動的活動観測2015」", 情報処理学会,マルウェア対策研究人材育成ワークショップ2015 (MWS2015), 2015年10月.

PRACTICE (AmpPot) 2015

• L. Kramer, J. Krupp, D. Makita, T. Nishizoe, T. Koide, K. Yoshioka, and C. Rossow, "AmpPot: Monitoring and Defending Amplication DDoS Attacks," In Proceedings of the 18th International Symposium on Research in Attacks, Intrusions and Defenses (RAID), Nov. 2015.

MWS Cup は、研究用データセットの活用によるマルウェア対策研究の成果を活用して、規定時間内で課題に取り組み解析結果を競います。詳しくは MWS Cup のページをご覧ください。

MWS Cup 2018 エントリーチーム一覧

1. kimny-h
2. 取鳥
3. Team GOTO Love
4. たこ焼きLab
5. UN頼み
6. TDU-ISL
7. SecCap-KKK
8. 人海戦術 Whiteチーム
9. TDU2018
10. セキュリティ讃歌
11. 人海戦術 Blackチーム
12. m1z0r3
13. 北のMIT
14. にゃんぱす
15. ICSCoE2018
16. :sushi: