第 3 章 先行研究と関連技術 23
3.2 擬態を用いた欺瞞的防御
3.2.1 Fake Honeypots: A Defensive Tactic for Cyberspace
Neil Roweらによる研究 [17]では、サイバーセキュリティで擬態を行うことを
提唱している。Fake Honeypotsとは、通常のホストに対し、ハニーポットが持つ
フィンガープリントを埋め込むことで実現するサイバー防御システムである。こ れにより、通常のホストがハニーポットか否かの判別が困難になる。Neil Roweら は、サイバー空間における簡単な擬態の基準、フィンガープリントを事前実験に よって定め、実装を行なっている。まとめでは、攻撃者が攻撃を躊躇する環境は、
本物の情報と偽の情報の割合が半々の時であると結論付けている。また、組織内 ネットワークにおいて重要なシステムを担うホストにのみ実装することで、最大 の効果を発揮すると提唱している。
このアプローチは本研究の元となっているが、サイバー空間における擬態の定 義が不十分である。特に、サイバー空間において擬態を行う場合、整合性がなけ れば非常に稚拙なものとなってしまう。また、擬態の基準にはファイル名だけで は少なく、その他にも多くの要素が存在する。
3.2.2 Mimicry honeypot
2.4節で述べた通り、Leyi Shiらによる研究であり、Leyi Shiらは警告色擬態と 保護色擬態の提案とNeilらのFake Honeypotsを利用したハニーポットシステムを 提案している。
Leyi Shiらが行なったサイバー空間における擬態分類の提案では、その名称と
具体例の例示であり、定義はなされていなかった。
また、Leyi Shiらが提案する他の研究 [18]では遺伝的アルゴリズムを適用した
ハニーポットと複数のハニーポットを用いたシステムを提案している。
3.2.3 Stopping Malware With a Fake Virtual Machine
これはThomas Roweによる記事 [19]である。
2.5.1節で述べた様に、マルウェアには解析を阻害する機能が実装されている。
著者はAnti-VM技術に注目し、windows環境下で仮想環境のフィンガープリント
をエミュレートしている。著者が定義した仮想環境のフィンガープリントは、レ ジストリとプロセス、ファイルとMACアドレスであった。
また、著者によって実装された環境に対し、OSSの仮想環境検出ツールである
pafishを利用して実装環境の評価を行なっている。pafishは一部のマルウェアに耐
解析機能として実装されているソフトウェアである。これによって全てのマルウェ
アを撃退できるとは言えないが、実際に多くのフィンガープリントが検出されて いるため、これらを検出する耐解析機能を備えたマルウェアは撃退できると考え られる。
攻撃者はマルウェアを解析されることを嫌うため、マルウェアには網羅的にフィ ンガープリントを検出する耐解析機能が施されていることが多い。あえて検出さ せて防御するだけであれば、これに合わせた様々なソフトウェアのフィンガープ リントをシミュレートすることで防御が可能になる。しかし、この実装方法では、
通常ではありえない環境のエミュレートになってしまう。つまり、著者の提案で は、実装する耐解析機能に一貫性がないと言う問題がある。
3.2.4 Honeyfiles: deceptive files for intruction detection
Jim Yuillら [20]は、端末に存在するファイルを防御するために、サイバー防御
に欺瞞を取り入れた。端末に存在するファイル名に酷似した偽のファイルを多数 保持することで、欺瞞的防御の希薄化を実現している。また、偽のファイルに侵 入検知機能を付与することで、欺瞞的防御をIDSへの拡張を行なっている。実際
には、Honeyfilesと名付けられたこのファイルは、様々なディレクトリに多数設置
される。ファイルが開封された場合にのみ、エンドユーザへの通知を送信する仕 様となっている。
しかし、Honeyfilesにはいくつか弱点が存在する。例えば、攻撃者がキーロガー
を使用している場合は、Honeyfilesの判別ができてしまう。また、著者は言及して いないが、ファイルの変更の有無などを調査することでもHoneyfilesの判別が可 能である。
3.2.5 セキュリティ無効化攻撃を利用したマルウェアの検知と活動
抑止手法の提案
これは松本らと寺田らによる研究[21]である。
マルウェアには、耐解析機能の他にアンチウィルスソフトの機能を無効化する 機能であるAnti-アンチウィルスソフトウェアが実装されている場合がある。松本 らはこの機能をマルウェアのセキュリティ無効化攻撃と定義し、これに注目した
IDSを提案している。Jim YuillらのHoneyfilesに似ているが、検出対象が異なる。
Honeyfilesでは、端末に侵入した攻撃者を対象としているのに対し、松本らの研究
では、マルウェアを対象としている。
3.2.6 マルウェアの耐解析機能を逆用した活動抑止手法の提案
セキュリティ無効化攻撃を利用したマルウェアの検知と活動抑止手法の提案と 同様、松本らと寺田らによる研究 [22]である。
この論文では、マルウェアに実装される耐解析機能の一つであるAnti-Debug技 術に注目している。松本らはWindowsのAnti-Debug技術の手法の一つである、
IsDebuggerPresent APIをフックすることで、仮想的にデバッグソフトウェアの存 在をエミュレートしている。これにより、デバッグ状態でなくてもデバッグ状態 であるようにマルウェアに認識させている。
このアプローチは、マルウェア製作者の自己防衛を逆手に取った手法である。
3.2.7 欺瞞を用いた能動的サイバー攻撃防御手法の提案と実装
これは山田らによる研究[23]である。
脆弱なシステムを検出し攻撃対象を決定する攻撃者は、Nmapを使用する場合 が多い。Nmapは、一般的なポートスキャナー機能に加え、OSの種類だけでなく OSバージョンやサービスの種類とサービスバージョンの特定が可能なアプリケー ションである。ポートスキャンを検知した場合の一般的な対処はパケットを破棄 することであるが、著者はパケットを破棄した後に偽のメッセージを返答してい る。これを実装したホストから返答メッセージを受信した攻撃者はこの情報を元 に攻撃または退避を行うため、攻撃が失敗する確率が高くなる。
山田らは、この提案を欺瞞と表記しているが、実際の端末情報を偽の端末情報 にすり替えているため、欺瞞ではなく擬態であると考えられる。