題名 | プロセス情報と関連づけたパケットを利用した不正通信原因推定手法の提案 |
著者 | *三村 聡志 (東京電機大学大学院), 佐々木 良一 (東京電機大学) |
Page | pp. 1973 - 1980 |
Keyword | フォレンジック, 原因推定, 証拠保全, ログ関連づけ, マルウェア |
Abstract | 標的型攻撃などの原因調査では様々な情報を照らし合わせ,当時の状況を推測し原因の判定を行う事が必要となる. 情報には後から取得可能な情報以外に,揮発性情報と呼ばれる時間の経過に伴って情報の取得が困難になる情報が存在し,対象コンピュータの操作や電源断などによって簡単に消えてしまう. 本論文ではそれら揮発性情報のうち通信とそれを実行するプロセスの情報に着目し,不審な通信の原因を特定する手法としてプロセス情報とそのプロセスが発した通信に関するログを記録する手法を提案すると共に,手法を実現するプログラムを実際に開発して実験を行うことにより,原因となるプロセスを発見できることを確認した. また実験によって明らかになった新たな課題とその対応策も記述している. |
題名 | 標的型メール攻撃に対する知的ネットワークフォレンジックのための予兆検知と対策方法の提案 |
著者 | *比留間 裕幸, 橋本 一紀, 柿崎 淑郎, 八槇 博史 (東京電機大学), 上原 哲太郎 (立命館大学), 佳山 こうせつ (東京電機大学), 松本 隆 (ネットエージェント株式会社), 佐々木 良一 (東京電機大学) |
Page | pp. 1981 - 1987 |
Keyword | セキュリティ, ネットワークフォレンジック, ログ分析, アクセス制御, ネットワーク管理 |
Abstract | 近年,標的型メール攻撃をはじめとするサイバー攻撃が増加の一途を辿っているが,入口対策の限界やセキュリティ技術者の不足,組織内で収集されるログの不整合等の問題により一般的な組織では適切な対応が難しい現状がある.よって著者らは,運用時には収集するべきログの管理や攻撃事象の特徴から検知,分析,対応を行い,ネットワーク整備段階では計画支援機能を備えたLIFT(Live and Intelligent Network Forensics Technologies )システムの開発に着手した.LIFTの検知機能は攻撃事象の粒度を階層構造で7つに分け,ボトムアップ式に確信度を上げることで事象の推定を行う.確信度をあげる上で関連する別の兆候の調査や通常では収集されないログの収集,マルウェア等の兆候誘発等を行う.また,推定される攻撃事象や兆候を否定する反証の調査も行うことで一方向でない広い視野での検知が可能となる.応急対応機能は推定された事象に対して,有効な応急対応策を算出し,自動的な対策案実施や管理者への指示を行う.この提案方式を実現する上で,ルールベースでの記述が可能となるJBoss Droolsを用い,開発を行った.その結果,ルールを発火させることでソースから兆候検知が可能となることがわかった. |
題名 | ITリスクの動的特性を考慮した対策案組み合わせ最適化技術の提案 |
著者 | *梅原 悠平, 安藤 駿 (東京電機大学 未来科学研究科 情報メディア学専攻 情報セキュリティ研究室), 佐々木 良一 (東京電機大学) |
Page | pp. 1988 - 1994 |
Keyword | 情報セキュリティ, MRC, 合意形成, ITリスク, 特性 |
Abstract | ITリスクには,一つのリスクに対する対策が,別のリスクを生み出す多重リスクという問題がある.この問題を解決するために佐々木らが多重リスクコミュニケータ(以下,MRC)を開発した.MRCは,複雑化するリスクへの対応を定式化し,関与者間での合意形成を支援するシステムである.しかし,問題の解決には多重リスクの回避だけではなく,動的に変化する状況にも対応する必要がある.本稿で言う動的な変化とは対策を取ることによる相手の対応の変化である.対策の条件が厳しければ,対策に対する反発が大きくなり,リスクの上昇を招く可能性がある.よって,相手の動的な変化を考慮すべきだと考え,ITリスクの動的特性を考慮した対策案組み合わせ最適化技術を開発した.本稿では特に攻撃者の「技術力」と「反発心」が重要だと考え,それらの特性の動的変化を考慮した上で定式化し解を求めた.この結果,従来の演算と今回提案した演算で取るべき対応が変わることなどが明らかになった.従来の演算と,今回提案した手法を用いた演算を行った場合では,対策を取った事によって変化するリスクに対応をした分,対策案の選定が状況に適したものとなったと考えられる. |