口サイトでは IP アドレスやリファラ情報などを基にクライアントハニーポットによるアクセスを判断し 正規の Web サイトに転送することで検知を回避する仕組み ( クローキング ) が備わっていることも多い 入口サイトから攻撃サイトへの誘導では複数の中継サイトを経由する場合があるが 最終的に攻撃サイ

Similar documents
Drive-by Download 攻撃に おけるRIG Exploit Kitの 解析回避手法の調査

(8) [ 全般 ] タブをクリックします (9) [ インターネット一時ファイル ] の [ 設定 ] ボタンをクリックします (10) [ 保存しているページの新しいバージョンの確認 ] から [ ページを表示するごとに確認する ] をクリックします (11) [OK] ボタンをクリックしていき

マルウェアレポート 2018年3月度版

PowerPoint プレゼンテーション

6-2- 応ネットワークセキュリティに関する知識 1 独立行政法人情報処理推進機構

延命セキュリティ製品 製品名お客様の想定対象 OS McAfee Embedded Control 特定の業務で利用する物理 PC 仮想 PC や Server 2003 Server 2003 ホワイトリスト型 Trend Micro Safe Lock 特定の業務で利用するスタンドアロン PC

2.3 1 RIG Exploit Kit (4) 4 Exploit Kit 2.2 RIG Exploit Kit RIG Exploit Kit 1 5 (1) Web Web (2) RIG Exploit Kit URL (3) URL iframe RIG Exploit Kit (4)

侵入挙動の反復性によるボット検知方式

インターネット EDI システムを使用する前の準備 目次 動作環境について... 2 Internet Explorer7.0 / 8.0 をご利用の場合の設定方法... 3 [1] インターネット EDI システムを利用するための標準的な設定... 3 [2] ブラウザ型で帳票を利用する場合に必要

ログを活用したActive Directoryに対する攻撃の検知と対策

目次 1. PDF 変換サービスの設定について )Internet Explorer をご利用の場合 )Microsoft Edge をご利用の場合 )Google Chrome をご利用の場合 )Mozilla Firefox をご利

不正送金対策 フィッシング対策ソフト PhishWall( フィッシュウォール ) プレミアム のご案内 広島県信用組合では インターネットバンキングを安心してご利用いただくため 不正送金 フィッシング対策ソフト PhishWall( フィッシュウォール ) プレミアム を導入しました 無料でご利用

CloudEdgeあんしんプラス月次レポート解説書(1_0版) _docx

Trend Micro Cloud App Security ご紹介資料

悪性Webサイト探索のための効率的な巡回順序の決定法

ご利用のブラウザのバージョンによっては 若干項目名が異なる場合があります 予めご了承ください Windows をお使いの場合 [ 表示 ] [ エンコード ] [ 日本語 ( 自動選択 )] を選択 [ 表示 ] [ エンコード ] [Unicode(UTF-8)] を選択 Firefox をご利用

Landing Landing Intermediate Exploit Exploit Distribution Provos [1] Drive-by Download (Exploit Distribution ) Drive-by Download (FCDBD: Framework for

ミーティングへの参加

SAMBA Stunnel(Windows) 編 1. インストール 1 セキュア SAMBA の URL にアクセスし ログインを行います xxx 部分は会社様によって異なります xxxxx 2 Windows 版ダウンロード ボ

9 WEB監視

Microsoft Word - XOOPS インストールマニュアルv12.doc

ログ分析によるサイバー攻撃検知システムの構築

(1)IE6 の設定手順 (1)IE6 の設定手順 1) 信頼済みサイトの追加手順 1: ブラウザ (Internet Explorer) を起動します 手順 2: ツール / インターネットオプション / セキュリティ メニューを選択します 手順 3: セキュリティ タブの 信頼済みサイト を選択

BACREX-R クライアント利用者用ドキュメント

技術レポート 1)QuiX 端末認証と HP IceWall SSO の連携 2)QuiX 端末認証と XenApp の連携 3)QuiX 端末認証 RADIUS オプションと APRESIA の連携 Ver 1.1 Copyright (C) 2012 Base Technology, Inc.

McAfee Application Control ご紹介

製品概要

OmniTrust

はじめに このマニュアルは BACREX-R を実際に使用する前に知っておいて頂きたい内容として 使用する前の設定や 動作に関する注意事項を記述したものです 最初に必ずお読み頂き 各設定を行ってください 実際に表示される画面と マニュアルの画面とが異なる場合があります BACREX-R は お客様の

SAMBA Stunnel(Mac) 編 1. インストール 1 セキュア SAMBA の URL にアクセスし ログインを行います xxxxx 部分は会社様によって異なります xxxxx 2 Mac OS 版ダウンロー

感染条件感染経路タイプウイルス概要 Authplay.dll (aka AuthPlayLib.bundle) を利用する Adobe Reader 9.x ~ より前のバージョンと 10.x から 上記動作環境に一致した環境下で当該 PDF タイプウイルスを実行することで

PowerPoint プレゼンテーション

PowerPoint プレゼンテーション

クライアント証明書インストールマニュアル

Web Gateway資料(EWS比較付)

9. システム設定 9-1 ネットワーク設定 itmはインターネットを経由して遠隔地から操作を行ったり 異常が発生したときに電子メールで連絡を受け取ることが可能です これらの機能を利用するにはiTM 本体のネットワーク設定が必要になります 設定の手順を説明します 1. メニューリスト画面のシステム設

PALNETSC0184_操作編(1-基本)

PowerPoint プレゼンテーション

Mobile Access簡易設定ガイド

WEBシステムのセキュリティ技術

WannaCry とは WannaCry はランサムウェアの一種 WannaCry は ランサムウェアと呼ばれる身代金要求型のマルウェアです WannaCryptor WanaCrypt Wcry といった呼ばれ方もします 一般的にランサムウェアに感染すると 以下のようなデータを使用できないように暗

マルウェアレポート 2017年9月度版

Trend Micro Safe Lock 2.0 Patch1 管理コンソールのシステム要件 OS Windows XP (SP2/SP3) [Professional] Windows 7 (SP なし /SP1) [Professional / Enterprise / Ultimate] W

<4D F736F F F696E74202D D352E8ED093E08AC28BAB835A834C A BAD89BB82CC8CE492F188C42E707074>

. はじめに 動作環境の全ブラウザで 本書の設定を行ってください 本設定を行わない場合 システムが 正常に動作しない可能性がありますので 必ず設定をお願いいたします また 本書の中で 画 像に番号を付与している箇所以外の設定は お使いの環境のままでご使用ください 参考 : 動作環境の全ブラウザについ

ブラウザ Internet Explorer 7 の設定について 第3版

ポップアップブロックの設定

2 ログイン ( パソコン版画面 ) Web サイトのログイン画面が表示されます 通知メールに記載されている ID と仮パスワードを入力して ログイン ボタンをクリックしてください ID パスワードを連続して 5 回間違うと 当 I D はロックアウト ( 一時的に使用不可 ) されるので ご注意く

マルウェアレポート 2018年1月度版

基本プラン向け ( インターネット接続管理 バックアップ メッセージ通知 ウイルス対策 Web フィルター ) 2

Shareresearchオンラインマニュアル

システム要件 Trend Micro Safe Lock Trend Micro Safe Lock 2.0 エージェントのシステム要件 OS Client OS Server OS Windows 2000 (SP4) [Professional] (32bit) Windows XP (SP1/

Microsoft IISのWebDAV認証回避の脆弱性に関する検証レポート

KDDI Smart Mobile Safety Manager ( 基本プラン /4G LTE ケータイプラン ) オプション機能説明 2018 年 2 月 27 日現在 KDDI 株式会社 ver Copyright 2018 KDDI Corporation. All Rights

はじめに ウイルスに感染させるための罠が仕掛けられた悪意のある文書ファイルは これまでにも Office の脆弱性の悪用や マクロ機能を悪用する手口のものがありました 昨今 それらとは異なる新たな攻撃手口を使ったものが出てきています 本資料は 新たな攻撃手口について紹介し 注意点を説明するものです

2014 年電子情報通信学会総合大会ネットワークシステム B DNS ラウンドロビンと OpenFlow スイッチを用いた省電力法 Electric Power Reduc8on by DNS round- robin with OpenFlow switches 池田賢斗, 後藤滋樹

PowerPoint プレゼンテーション

安全な Web サイトの作り方 7 版 と Android アプリの脆弱性対策 独立行政法人情報処理推進機構 (IPA) 技術本部セキュリティセンター Copyright 2015 独立行政法人情報処理推進機構

システム要件 Trend Micro Safe Lock 2.0 SP1 Trend Micro Safe Lock 2.0 SP1 エージェントのシステム要件 OS Client OS Server OS Windows 2000 (SP4) [Professional] (32bit) Wind

2. インストール完了画面の 開く をタップするか ホーム画面 AnyConnect のアイコン をタップし アプリケーションを起動してください or 3. OK をタップし 順に従い 接続 をタップしてください AnyConnect は デバイスに関する情報 (IMEI など ) にアクセスする必

PowerPoint Presentation

クライアント証明書インストールマニュアル

修士論文進捗報告

ESET Smart Security 7 リリースノート

Transcription:

5-2 DBD 攻撃対策フレームワーク 笠間貴弘松中隆志山田明窪田歩藤原信代川守田和男岡田晃市郎 Web ブラウザやプラグインの脆弱性を悪用することで Web サイトにアクセスしたユーザに気づかれないうちにマルウェアに感染させる Drive-by-Download 攻撃 ( 以下 DBD 攻撃 ) の被害が多発している 本稿では この DBD 攻撃対策を目的として研究開発を進めている DBD 攻撃対策フレームにワークについて概説し 1,600 名以上の一般ユーザの協力の下で行った実証実験の結果について示す 1 はじめに 2009 年に発生した Gumblar 攻撃では 攻撃者が正規の Web サイトを改ざんし 当該 Web サイトにアクセスしたユーザを DBD 攻撃によってマルウェアに感染させた さらに 感染させたマルウェアは当該マシンが管理している別の Web サーバの FTP アカウント情報を攻撃者に漏えいさせ 攻撃者は取得した FTP アカウント情報を利用して改ざんを行うことで次々に日本の大手企業等の Web サイトを改ざんし 多数のユーザに被害が発生した Gumblar 攻撃以降も DBD 攻撃の被害は多数発生しており 近年のマルウェア感染の主要な原因の一つとなっている DBD 攻撃の特徴として ユーザから悪性 Web サイトへのアクセスを攻撃の起点とする 受動的な攻撃手法であることが挙げられる そのため ダークネット観測のような待ち受け型の観測手法では DBD 攻撃を観測が難しく 脅威把握のためには異なる観測手法が必要である DBD 攻撃を観測する主要な方法の一つであるクライアントハニーポットを用いた手法では 脆弱なユーザマシンを模擬した環境でインターネット上の Web サイトに対して能動的にアクセスすることで DBD 攻撃を観測する しかし インターネット上に存在する Web サイトは膨大な数にのぼり その全てを検査することは困難である そのため 悪性 Web サイトを効率的に見つけるためには 不審な URL を適切に選択して検査を行う必要がある また昨今 エクスプロイトキットと呼ばれるツールの登場によって 攻撃者は容易に悪性 Web サイトを構築できるようなっている その結果として 検知を困難にする目的で悪性 Web サイトを数日から数週間程度の短期間で使い捨てる場合が多く いかに迅速に発見できるかが重要となっている そこで我々は 一般ユーザ 1,600 名以上の協力の下 各ユーザ環境に Web アクセス観測用のセンサを大規模展開することで Web 空間上の巨視的な挙動を観測するシステムを構築 センサから集約された Web アクセス情報を分析し 悪性 Web サイトの出現や正規サイトの改ざんなどを検知するための DBD 攻撃対策フレームワークの研究開発を進めている 本稿では 我々の開発した DBD 攻撃対策フレームワークの概要について述べ 1,600 名以上の一般ユーザの協力の下で実施したユーザ参加型の実証実験の結果について示す 2 DBD 攻撃の概要 図 1に DBD 攻撃の典型的な流れを示す あらかじめ攻撃者は正規の Web サイトを改ざんし 攻撃用に準備したサイト群 ( 攻撃サイト ) に誘導するためのスクリプトを挿入する 改ざんされた Web サイトへアクセスしたユーザは まず 入口サイトへ転送される 入口サイトでは ユーザの環境 (OS ブラウザの種類 バージョン プラグインの種類 バージョン IP アドレス リファラ情報など ) を調査し 条件を満たす場合のみ攻撃サイトへユーザを転送させる また 入 ユーザ 1. リダイレクト 2. 脆弱性をつく攻撃 3. マルウェアのダウンロード 感染 図 1 DBD 攻撃の典型的な流れ 改ざんされたサイト 入口サイト 攻撃サイト マルウェア配布サイト 105

口サイトでは IP アドレスやリファラ情報などを基にクライアントハニーポットによるアクセスを判断し 正規の Web サイトに転送することで検知を回避する仕組み ( クローキング ) が備わっていることも多い 入口サイトから攻撃サイトへの誘導では複数の中継サイトを経由する場合があるが 最終的に攻撃サイトに誘導されたユーザは ユーザ環境に合わせた脆弱性を攻撃するコンテンツをダウンロードし 攻撃が成功するとマルウェア配布サイトからマルウェアを強制的にダウンロードされて感染する さらに 近年では Blackhole Exploit Kit や Angler といったエクスプロイトキットと呼ばれるツールが開発され DBD 攻撃に利用されていることが報告されている エクスプロイトキットには複数の脆弱性を突く攻撃コードが用意されているほか 攻撃コードの難読化処理やクローキング機能 管理用の Web インターフェースなど DBD 攻撃を行うための各種機能やツールが備わっている 攻撃者は これらを利用することで攻撃のための仕組みを自前で準備しなくても比較的簡単に DBD 攻撃を行うことができるようになった このことが DBD 攻撃の被害拡大にも大きく影響している 3 DBD 攻撃対策フレームワーク前述したように 我々は DBD 攻撃において攻撃の実態把握が困難であるという課題に対して 実際の一般ユーザの協力に基づいて Web 空間におけるユーザの巨視的な挙動を観測し 集まった大量の Web アクセス情報を統合的に分析することで DBD 攻撃の発生を早期に検知するための DBD 攻撃対策フレームワークの研究開発を進めている [1] [3] 当該フレームワークの全体像を図 2に示す まずユーザの Web アクセス情報を収集するセンサとして 我々は 3 種類のセンサを用意した 主なセンサとしては Web ブラウザのプラグイン形式として実装された Web ブラウザセンサを用いるが プラグインの導入ができない状況も想定して Web プロキシとして動作するセンサや DNS サーバセンサも開発している しかし これらのセンサで収集できる情報はユーザ端末上で動作する Web ブラウザセンサよりも少なくなるため 以降では基本的なセンサである Web ブラウザセンサの動作のみを説明する 3.1 フレームワークにおける処理の流れ Web ブラウザセンサ ( 以下 センサ ) は各ユーザ端末上で動作する Web ブラウザのプラグインソフトウェアとして実装されており 現状では Internet Explore と Firefox の Web ブラウザに対応している 表 1にセンサが収集するセンサ環境情報や Web ブラウジング情報の主な内容を示す センサは Web ブラウザが起動されると同時に起動し 自身の ID をランダム生成した上で当該 ID とブラウザの種類 バージョン Web ブラウザにインストール済みの他のプラグインソフトウェアの種類 バージョンといった自身のセンサ環境情報を大規模分析 対策センタ ( 以下 分析センタ ) に送信する また Web ブラウザから各 Web サイトへのアクセスごとにセンサは Web ブラウジング情報を生成し 分析センタに送信する 図 3に DBD 攻撃対策フレームワークにおける大まかな処理フローを示す センサによって Web ブラウジング情報が分析センタに送信された際 分析センタ 表 1 センサによる主な収集情報 センサ環境情報 センサ ID( 起動毎にランダム生成 ) 大規模分析 対策センタ Webブラウザの種類 Webブラウザのバージョン プラグインの種類 バージョン.... 分析 解析 Web ブラウジング情報.... Web ブラウジング情報の提供 The Internet 悪性サイト情報の配信 センサID( 起動毎にランダム生成 ) タブID( タブ毎にランダム生成 ) 情報収集 アクセス先 URL 観測センサ群 Web ブラウザセンサ Web プロキシセンサ DNS サーバセンサ アクセス先 IPアドレス HTTP Rewuest/Responseヘッダコンテンツのハッシュ値 利 者 リダイレクトの有無 図 2 DBD 攻撃対策フレームワークの概要図 マウスイベントの有無 106 情報通信研究機構研究報告 Vol. 62 No. 2 (2016)

5-2 DBD 攻撃対策フレームワーク 側ではまず既知の悪性サイトや悪性コンテンツに一致するか否かを判定するためにブラックリスト判定を行う このブラックリストは外部公開されている情報を用いるほか 後述する各種分析エンジンの分析によって悪性判定されたサイトの URL やコンテンツのハッシュ値も含む また ブラックリスト判定に加えて ページ遷移の振る舞いやリダイレクト段数など いくつかの特徴を基に悪性判定を行うヒューリスティックエンジン [4][5] による判定も行われる アクセス先の Web サイトが悪性判定された場合は その判定結果がセンサに渡され センサはユーザにダイアログ等で警告を表示 ユーザの判断を仰いだ上でアクセスを遮断することで攻撃の被害を防止する また 悪性判定された際には必要に応じて 分析センタからセンサに対してブロックされた当該 Web コンテンツのアップロード要求が送信され ユーザが許可した場合には当該 Web コンテンツが分析センタ側に送信され各種解析エンジン [6][7] による詳細な解析が実施される Web アクセスごとのリアルタイムな悪性判定に加えて 多数のユーザから収集した Web ブラウジング情報を集約 分析し Web サイト間のリンク構造等から悪性 Web サイトを検知するエンジン [8][9] も定期的に動作している 3.2 ユーザプライバシに関する配慮 Web サイトのアクセス情報にはユーザの趣味嗜好や行動パターンが反映されるため フレームワークに参加したユーザのプライバシへの配慮が重要となる そこで本フレームワークにおいては いくつか技術面での対応を実施している まず 収集した Web アクセス情報から参加者個人の Web アクセス履歴が過度に追跡されないように ブラウザセンサにおいては Web ブラウザが起動されるごとにセンサ ID をランダムに生成するようにした これにより ブラウザや OS の再起動時には同一ユーザであっても毎回異なる Web ブラウザブラウザセンサ大規模分析 対策センタ外部機関 B1. 起動 S1. センサ環境情報送信 保存 センサ ID が生成されるため センサ ID のみでは長期間にわたって同一ユーザの Web ブラウジング情報を追跡できない その他にも デフォルトでは HTTP ヘッダ情報のみを収集し コンテンツを収集する際にはダイアログによってユーザの承認を得る HTTPS での通信や Cookie 認証情報などは収集しない 収集対象の情報は各項目別にユーザ側で許可する / しないを設定できる といった各種プライバシ対策を実現した また後述するユーザ参加型実証実験においては ユーザへ収集する Web ブラウジング情報を説明する各種文書や約款等を整備し それらの文書内容を含めた実証実験全体について問題が無いことを有識者による第三者委員会によって確認している 4 ユーザ参加型実証実験本フレームワークの有効性を検証するために 2015 年 7 月 1 日 ~ 11 月 30 日の期間において 1,000 名規模のユーザ参加型の実証実験を実施した 期間中は順次参加ユーザを募集し 2015 年 10 月 21 日には参加ユーザ数は 1,676 名に達し 以降はそのユーザ数で実験を継続した 表 2に実証実験で収集されたデータの統計を示す 実験期間中にセンサによって観測されたユニーク URL 数は計 217 万 URL であり これらの観測された URL を Alexa の日本でのドメイン別アクセスランキングと比較したところ Alexa の上位 100 ドメインのうち全てのドメインに対してアクセスが観測されていた この結果から 1,600 名規模でも主要な Web サイトへのアクセスは漏れなく観測されており 仮にこれらの主要な Web サイトが改ざん等の被害を受け DBD 攻撃に悪用された場合には 攻撃活動を観測できる可能性が十分にあることがわかる DBD 攻撃対策フレームワークでは 多数のユーザによる Web アクセスを観測 分析することで悪性 Web サイトを検知することを想定しているため 1 度しかアクセスされない Web ページに対してはその効果は限定的なものになる そこで表 3に実証実験において複数回アクセスが観測された Web ページ数とア B2. Web アクセス B3. コンテンツ表示 S2. Web ブラウジング情報送信 S3. ブロック S4. コンテンツ送信 No C1. ブラックリスト判定 C2. ヒューリスティック判定 悪性? C3. リンク構造解析 C4. コンテンツ解析 ブラックリスト 図 3 DBD 攻撃対策フレームワークの処理フロー Yes 表 2 実証実験における統計情報 ユーザ数 1,676 全センサID 数 49,146 全 Webアクセス情報数 4,425,689 ユニークアクセスURL 数 2,178,381 ユニークアクセスFQDN 数 34,195 107

表 3 2 回以上アクセスが観測された Web ページ数とアクセス数の統計 ユニーク Web ページ数 2,178,381 2 回以上アクセスされた Web ページ数 Alexa 日本上位 100 ドメイン上の Web ページ数 Alexa 日本上位 100 ドメイン以外の Web ページ数 212,804 (9.8%) 56,692 (2.6%) 156,112 (7.2%) 総アクセス数 4,425,689 2 回以上アクセスされた Web ページへのアクセス数 Alexa 日本上位 100 ドメイン上の Web ページへのアクセス数 Alexa 日本上位 100 ドメイン以外の Web ページへのアクセス数 2,460,112 (55.6%) 668,537 (15.1%) 1,791,575 (40.5%) クセス数の統計を示す 表 3を見ると 2 回以上アクセスが観測された Web ページ数は約 21 万 URL であったが この中の約 15 万 URL については Alexa の上位 100 ドメインに含まれない Web ページであった これらの Web サイトについては 少なくとも Alexa 上位ドメイン上のサイトをクローリングしているだけでは観測できないため 一般ユーザの Web アクセスを観測する我々のフレームワークでは アクセスの多い Web サイトに限らず幅広く Web 空間上を観測することができていることがわかる 悪性判定エンジンの結果に関して 文献 [3] で提案した ダウンロード遷移を明示的に把握できない実行ファイルへのアクセスを検知する手法については 実験期間中に悪性判定されたアクセスは存在しなかった また リダイレクト段数による多段リダイレクト検知については 11 件のアクセスが悪性判定された これらの悪性判定されたアクセスについて詳細解析を行った結果 特に悪性なコンテンツのダウンロードでは無いと判断されたため この 11 件については誤検知であると判断した 一方 Google が提供する Safe Browsing API を用いて観測した URL を検査したところ 23 件が悪性判定されたが 同じく当該アクセスを調査した結果 実際にマルウェアのダウンロードまでは発生しておらず 誤検知の可能性が高いと判断した 結果として 今回の実証実験においては見逃しの可能性は残るものの 実際の DBD 攻撃の観測はできていない可能性が高いと判断した そのため 更なる検知エンジンの研究開発に加えて より多くのユーザ規模での実証実験を行うことで実際の DBD 攻撃の観測と検知エンジンの評価を行う必要があると考えている 5 まとめ 本稿では DBD 攻撃対策フレームワークの概要と一般ユーザの協力の下に実施した実証実験の結果について報告した 結果として 1,600 名規模であっても著名な Web サイトへのアクセスを含む多数の Web サイトへのアクセスが観測されており 正規サイトに関するアクセスについては網羅的な観測ができていることが明らかになった しかし一方で 悪性サイトの検知に関しては 誤検知が何件か発生したのみで実際の DBD 攻撃については観測されていない このため 各種検知エンジンの高度化に加えて 参加ユーザ数を増加させた再実験を行うことで 実際の攻撃活動の観測と更なる評価を進める必要がある 参考文献 1 笠間貴弘, 井上大介, 衛藤将史, 中里純二, 中尾康二, " ドライブ バイ ダウンロード攻撃対策フレームワークの提案," 情報処理学会コンピュータセキュリティシンポジウム 2011 (CSS2011), 2011 年 10 月. 2 T. Matsunaka, J. Urakawa, and A. Kubota, Detecting and Preventing Drive-by Download Attack via Participative Monitoring of the Web, In Proceedings of the 8th Asia Joint Conference on Information Security (AsiaJCIS 2013), July 2013. 3 T. Matsunaka, J. Urakawa, A. Nakarai, A. Kubota, K. Kawamorita, Y. Hoshizawa, T. Kasama, M. Eto, D. Inoue, and K. Nakao, "FCDBD: Framework for Countering Drive-by Download," The 9th International Workshop on Security (IWSEC2014), poster session, Aug. 2014. 4 笠間貴弘, 神薗雅紀, 井上大介, "Exploit Kit の特徴を用いた悪性 Web サイト検知手法の提案," 情報処理学会マルウェア対策研究人材育成ワークショップ 2013 (MWS2013), 2013 年 10 月. 5 T. Matsunaka, A. Kubota, and T. Kasama, "An Approach to Detect Drive-by Download by Observing the Web Page Transition Behaviors," In Proceedings of the 9 th Asia Joint Conference on Information Security (AsiaJCIS 2014), Sept. 2014. 6 西田雅太, 星澤裕二, 笠間貴弘, 衛藤将史, 井上大介, 中尾康二, " 文字出現頻度をパラメータとした機械学習による悪質な難読化 JavaScript の検出," 情報処理学会第 158 回 DPS 第 64 回 CSEC 合同研究発表会, 2014 年 3 月. 108 情報通信研究機構研究報告 Vol. 62 No. 2 (2016)

5-2 DBD 攻撃対策フレームワーク 7 神薗雅紀, 岩本一樹, 笠間貴弘, 衛藤将史, 井上大介, 中尾康二, 解析環境に依存しない文書型マルウェア動的解析システムの開発, 電子情報通信学会信学技報, vol.114, no.71, 2014 年 6 月. 8 松中隆志, 半井明大, 浦川順平, 窪田歩, ドライブ バイ ダウンロード攻撃対策フレームワークにおけるリンク構造解析による改竄サイト検出手法の一検討, 電子情報通信学会 2014 年暗号と情報セキュリティシンポジウム (SCIS 2014), 2014 年 1 月. 9 笠間貴弘, 衛藤将史, 神薗雅紀, 井上大介, " クライアント環境に応じたリダイレクト制御に着目した悪性 Web サイト検出手法," 電子情報通信学会電子情報通信学会信学技報, vol.114, no.71, 2014 年 6 月. 笠間貴弘 ( かさまたかひろ ) サイバーセキュリティ研究所サイバーセキュリティ研究室研究員博士 ( 工学 ) サイバーセキュリティ 川守田和男 ( かわもりたかずお ) 株式会社セキュアブレイン先端技術研究所ディレクタ Web サービスセキュリティ Web クローラ 岡田晃市郎 ( おかだこういちろう ) 株式会社セキュアブレイン先端技術研究所所長 Web サービスセキュリティ マルウェア解析 松中隆志 ( まつなかたかし ) KDDI 株式会社セキュリティオペレーションセンター課長補佐ネットワークセキュリティ 山田明 ( やまだあきら ) 株式会社 KDDI 総合研究所ネットワークセキュリティグループ研究主査ネットワークセキュリティ 窪田歩 ( くぼたあゆむ ) 株式会社 KDDI 総合研究所ネットワークセキュリティグループグループリーダーネットワークセキュリティ 藤原信代 ( ふじわらのぶよ ) 株式会社セキュアブレイン先端技術研究所シニアプロジェクトマネージャプロジェクトマネジメント 109

2026 © docsplayer.net プライバシー | 利用規約 | フィードバック