後藤滋樹研究室の紹介 現在のインターネットの課題 敵を知り、己を知れば、百戦危うからず(孫子) 1 弱点 ソニー不正侵入 証拠得られず(NHK) ソニーハッカー:逮捕の3人を釈放(毎日新聞) ソニー攻撃3人逮捕→釈放(スポーツニッポン) ハッカー集団が逮捕に報復予告(日本経済新聞) 他、朝日新聞、FNN、など関連記事151件 (6月12日) ハッカー「任天堂ゲーム好き」サイト不正侵入(MSN産経) 任天堂の米国法人にハッカー攻撃(ロイター) 任天堂の米国Webサイト、不正アクセス受ける(slashdot.jp) 任天堂:米公式サイトに不正侵入 ネットに流出(毎日新聞) 他、朝日新聞、日本経済新聞、など関連記事75件(6月5日) 後藤滋樹研究室では、現在のインターネットの弱点を克服するために研究を行っています。課題はたくさんありますが、一例を紹介します。最近の報道が示しているように、インターネットのセキュリティは不十分です。ソニーや任天堂のように世界的に有名な企業が標的になっています。実際には攻撃を受けたり、不正侵入があっても報告されない事例があります。世界的に相当の数の被害が出ていると考えられます。 不正侵入や攻撃を防ぐためには「敵」を知る必要があります。そこで、わざわざ無防備の状態のコンピュータを設置します。これを囮(おとり)という意味でハニーポットと呼びます。このハニーポットの存在が知られてしまうと、攻撃者がハニーポットを避けてしまいます。どこにハニーポットを設置してあるかという情報は公開できません。ですから、ここでも詳しい説明を省略します。 《2枚目に続く》 敵を知り、己を知れば、百戦危うからず(孫子) 不正侵入・攻撃を分析するために囮(おとり)となるコンピュータを設置 ハニーポット(honeypot)
マルウェア (malware) の分析 悪意のある(malicious)ソフトウェア 瞬時に悪意を判定する方法(fingerprint) 2 悪意のある(malicious)ソフトウェア 瞬時に悪意を判定する方法(fingerprint) 悪意のあるパケットには特徴がある 送信するOSのfingerprintを分析 学外のハニーポット(おとり)の分析を 早稲田大学の入口に適用(20/44) 情報処理学会論文誌2011年6月掲載 ハニーポットを仮想化して多数設置(Darkpot) ここで分析する対象をマルウェアと呼ぶことがあります。マルウェアというのは悪意のある(マリシャス)ソフトウェアの意味です。ウィルスやトロイの木馬、ワーム、ボットなどの例があります。 ここでは研究の例を2つ紹介します。 一つは悪意のあるアクセスを瞬間に判定する方法です。マルウェアの多くは巧妙に準備されたソフトウェアから送信されてきます。送信されてくるデータはインターネットのパケットとなります。このパケットの特徴を、あたかも人間の指紋(フィンガープリント)のように分析します。スライドのグラフの文字が小さくて読めないと思いますが。グラフの赤い棒はWindowsのように「良く知られているOS」が送信するパケットとは異なる特徴(フィンガープリント)を持っているパケットの数です。このデータは学外に設置したハニーポットに到着するパケットの分析です。早稲田大学のネットワークの入口で同じ分析をすると、学外で捕捉した44種類のフィンガープリントのうちの20種類を検出することができました。つまり早稲田大学も攻撃に晒されていることが分かります。この研究成果は、本年の6月に情報処理学会の論文誌に掲載されたところです。 もう一つの分析を紹介します。ハニーポットが1台だけではデータの分量が少ないです。しかし複数台のハニーポットを運用するのは手間がかかります。多数のハニーポットを運用することは困難です。そこで、私たちは工夫しました。インターネットにおいてコンピュータを識別するにはIPアドレスが使われます。2年生の後期の科目で詳しく扱いますが、早稲田大学の全体では約6万5千個のIPアドレスを使うことができます。実際には使われていないアドレスが数千個あります。その使われていないアドレスに到着するデータは、普通の目的のデータではありません。なぜなら使われていないアドレス宛に普通のデータを送っても捨てられてしまうからです。実際に使われていないアドレス宛のデータを収集して分析します。すると、悪意のある通信がほとんどです。このデータを捨てずに分析すると、1台ではなく数千台の「おとり」のデータに相当する情報があります。スライドのグラフは小さくて読みにくいと思いますが、早稲田大学のネットワークが数時間にわたって攻撃されていることが観測できました。このように悪意のあるソフトウェア、あるいは悪意のある通信が頻繁に行われていることが分かります。この研究成果は米国の学会IEEEと日本の情報処理学会が共催する国際会議SAINT(セイント)2010で表彰されました。 次の課題は、このようなマルウェアから防御することです。現在も研究を進めています。 《終》 1台のハニーポットではデータが不足 多数のハニーポットは運用が困難 使用していない (dark) IPアドレスを観測する 早稲田大学のネットワークが攻撃されている例 国際会議SAINT 2010でBest Student Paper Award受賞