TOP > 研究成果

研究成果

SASEBO個体差調査報告



データ交換用標準フォーマット(WXF)



暗号化回路のソースコード



マルウェアの自己書き換え動作の可視化

 マルウェアの多くは解析を困難にするために、難読化処理が施されています。特に自身のコードを書き換えておき、実行時にこれを元に戻してから本来のコードを実行する「自己書き換え」により難読化されているマルウェアが多く、中には、何重にも自己書き換えを行っているマルウェアもあります。本研究では、マルウェア実行時のメモリ上のデータの読み書きを可視化することで、このような自己書き換えの有無や程度を解析者が把握することを助ける手法を検討しています。



攻撃者によるRAT遠隔操作をリアルタイム監視する手法について

 RATとはRemote Administration Toolの略で、遠隔操作ツールのことです。標的型攻撃では特定の組織や個人を狙ってマルウェアを送り込み、情報を収集しますが、この際にRATが用いられることがあります。標的型攻撃の実態はわかっていないことが多いため、攻撃者がRATをどのように使って情報収集、漏えいを行うのかを学ぶのが研究の第一歩です。本研究では、RAT検体をサンドボックス等において実行した際に、これを遠隔操作する攻撃者の様子を監視する技術について取り組んでいます。



通信可視化システム「MACIVISY」

 マルウェアの挙動やマルウェアを操作する攻撃者の動向を把握するために、長期的にマルウェア検体をサンドボックス上で動的解析する場合がありますが、このとき、マルウェアの通信量が非常に多くなり、解析に多くの手間が掛かる場合があります。本研究では、マルウェア長期動的解析で観測される大量の通信を解析者が容易に把握できるような可視化技術について取り組んでいます。



特徴的なTCP/IPヘッダによるパケット検知ツール「tkiwa」

 マルウェアやスキャンツールの中には効率的に通信を行うためにOSの機能を使わず、独自のネットワークスタックによって通信を行うものが存在します。それらのマルウェアやツールからのパケットのヘッダのフィールドには、OSが設定するものとは異なる値が設定されている場合があり、これを利用して送信元のマルウェアやツールを判別できることがあります。本研究では、この送信元判別手法を実装し「tkiwa」という名前で公開しています。



IoTPOT – Analysing the Rise of IoT Compromises

 IoT(Internet of Things:モノのインターネット)を構成する様々な機器がマルウェア感染し、サイバー攻撃に荷担しています。本研究では、これらの機器からの攻撃を観測し、マルウェア検体を収集する囮システム、IoTPOTの研究開発を行っています。



囮文書の内容に着目した標的型攻撃の分析

 標的型メール攻撃では、業務等に関連した文書に見せかけたマルウェアを添付ファイルとして送付し、攻撃対象者にこの添付ファイル(マルウェア)を実行させることで侵入を行います。マルウェア感染の際、攻撃対象者に疑いを持たせないために、ダミーとして表示されるのが「囮文書」です。本研究では、大量のマルウェア検体の中から囮文書を抽出し、その内容について分析します。抽出された囮文書の中には、サイバー攻撃の対象となっている組織の内部情報が含まれることが確認されています。



AmpPot: Honeypot for Monitoring Amplification DDoS Attack

 近年の大規模なサービス妨害攻撃の原因の1つである、反射型分散サービス妨害攻撃(Distributed Reflection Denial of Service Attack: DRDoS Attack)をリアルタイムで観測し、即時警報を発行するシステムを世界で初めて提案し運用しています。また、即時警報を国内ISP等に提供しています。