本論文では,IoTにおけるサイバー攻撃の観測・分析を行った.
第3章では,IoT サイバー攻撃の実態を把握するために,IoT デバイスへの Telnet を用いたサイバー攻撃を分析した.ハニーポットにより観測される攻撃の分析とマルウ ェア動的解析により観測される攻撃の分析を組み合わせて考察を行った.Telnet ログ インの際に得られる ID/パスワード情報とログイン後に使用されるシェルコマンド系列を 分析することで,攻撃ホストの感染マルウェアの推定を試みた.結果,新たに観測され
る ID/パスワードの内,一部のものが数ヶ月後に大規模な攻撃に利用される事例を多
数確認でき,このことから ID/パスワード観測を継続することで将来的に大規模攻撃に 使用されるID/パスワードを早期に発見できる可能性が明らかとなった.
第4章では,感染した IoT デバイスの挙動を分析するために,IoT マルウェア解析 環境を提案した.また,IoTマルウェアの動的解析においてC&Cサーバに接続し,攻 撃の観測を行う観測実験とC&Cサーバからの応答を蓄積したダミーC&Cサーバを用 いた攻撃再現実験を実施した.観測実験では,攻撃対象や頻度など実際に発生して いる攻撃の傾向を解析した.加えて,実際にIoTマルウェアに感染することが確認され ている実機群を用いて DoS攻撃の再現実験を行うことで,様々なDoS攻撃の通信内 容や流量等の詳細な分析を行い,IoTデバイスによるDoS攻撃の実態を分析した.
今後の課題としては,本論文で示したIoT ハニーポットのバージョンアップが考えら れる.そして,IoT デバイスの脆弱性を突く攻撃が急増した事情を踏まえて,IoT ハニ ーポットが多くの脆弱性を模擬し,より多くの IoT における攻撃を観測できるようにした い.また,IoT ハニーポットで収集したデータ量が多いため,ビックデータの分析手法 の提案が必要である.
謝辞
本論文を執筆するにあたり,ご支援頂いた全ての皆様に深く感謝致します.
特に,ご指導ご鞭撻頂いた本学松本 勉 教授に深く感謝申し上げます.また,本論 文の内容,および実験指導など,本学吉岡克成 准教授にご指導いただきました.ここ に深謝の意を表します.
加えて,いつも本研究に関する活発な意見を頂いた,四方順司 教授,藤田彬 特任 助教に深く感謝致します.
本論文および公聴会発表資料の査読をいただき,大変有意義なご意見をいただい た森 辰則教授,白川真一講師に深く感謝いたします.
また,IoTミーティングでご協力,ご意見を頂いたIoTチームの皆様に感謝いたしま す.毎日の研究室でお世話になりました森康之 技官,成松美央 秘書,石舘知子 秘 書をはじめ,吉岡研究室,松本研究室,四方研究室の皆様に感謝の意を表します.
博士論文を書き上げられたことに対して,これまでお世話になったすべての方々に 改めて謝意を表します.
最後に,院生生活を支えてくれた夫と子供,夫の実家の家族と私の両親に感謝し たいと思います.彼らの支援がなければとうていここまで来ることはできませんでした.
本当にありがとうございます.
参考文献
[1] Yin Minn Pa Pa,S. Suzuki,K. Yoshioka,T. Matsumoto,T. Kasama,C.
Rossow “IoTPOT: Analysing the Rise of IoT Compromises”,USENIX/WOOT’15,2015 [2] 鈴木将吾,インミンパパ,江澤優太,鉄穎,中山颯,吉岡克成,松本勉 “組込み機 器への攻撃を観測するハニーポット IoTPOT の機能拡張”,電子情報通信学会信学技報 vol.115 no.488,ICSS2015-47,pp.1-6,2016
[3] 鈴木将吾, 小出駿, 牧田大佑, 村上洸介, 笠間貴弘, 島村隼平, 衛藤将史, 吉岡克 成, 松本勉, 井上大介, “複数国ダークネット観測による攻撃の局地性分析”,コンピュータセ キュリティシンポジウム2014論文集,vol.2014,no.2,pp.40-47,2014
[4] K.Nakao,K.Yoshioka,D.Inoue,M.Eto,“A Novel Concept of Network Incident Analysis based on Multi-layer Observations of Malware Activities”, Proc.of the 2nd Joint Workshop on Information Security (JWIS2007) ,pp.267-279,2007
[5] D.Inoue,M.Eto,K.Yoshioka,S.Baba,K.Suzuki,J.Nakazato,K.Ohtaka,K.
Nakao, “nicter : An incident analysis system toward binding network monitoring with malware analysis”, WISTDCS2008, pp.58-66,2008.
[6] Internet Census 2012.http://internetcensus2012.bitbucket.org/paper.html,(参 照 2016-08-02).
[7] Busybox.https://busybox.net/, (参照 2016-08-02).
[8] ARM.https://www.arm.com/ja/, (参照 2016-08-02).
[9] MIPS Processors – Imagination Technologies.https://imgtec.com/mips, (参 照 2016-08-02).
[10] PowerPC – Wikipedia.https://ja.wikipedia.org/wiki/PowerPC,(参照2016-08-02).
[11] SPARC International Inc.https://sparc.org/, (参照 2016-08-02).
[12] Debian – ユ ニ バ ー サ ル オ ペ レ ー テ ィ ン グ シ ス テ ム .
https://www.debian.org/index.ja.html, (参照 2016-07-31)
[13] Cisco Systems,Inc.http://www.cisco.com/, (参照 2016-08-02)
[14] Dahua Technology.http://www.dahuasecurity.com/, (参照 2016-08-02)
[15] Como resetear la contraseña de un DVR Dahua – Securamente - El blog de Securame.
http://www.securamente.com/como-resetear-la-contrasena-password-de-un-dvr-dahua/, (参 照 2016-08-02)
[16] BILLION Electric.http://www.billion.com/, (参照 2016-08-05)
[17] Abdou, A.R., Barrera, D., Oorschot, P.C. “What lies Beneath? Analyzing automated SSH bruteforce attacks”, PASSWORDS 2015. LNCS, vol. 9551, pp. 72–91. Springer, Heidelberg (2016).
[18] 佐藤聡, et al. “筑波大学におけるハニーポットを用いた不適切な SSH アクセスの収
集とその解析”, 研究報告インターネットと運用技術 (IOT) 2014.17 (2014): 1-6.
[19] Kheirkhah E, Amin S M P, Sistani H A J, Acharya H. “An experimental study of SSH attacks by using honeypot decoys[J]”, Indian Journal of Science and Technology, 2013, 6(12):
5567–5578.
[20] Honeyd, http://www.citi.umich.edu/u/provos/honeyd/. (参照 2017-04-04).
[21] The Honeynet Project: Kippo – SSH honeypot.
http://www.honeynet.org/project/Kippo, (参照 2017-04-04).
[22] GUBBI, et al. “Internet of Things (IoT): A vision, architectural elements, and future directions”, Future generation computer systems, 2013, 29.7: 1645-1660.
[23] 寺田真敏, et al. “DoS 攻撃: 1. DoS/DDoS 攻撃とは”, 情報処理, 2013, 54.5: 428-435.
[24] Lucian Constantin IDG News Service,“IoT 機器を踏み台にした史上最大規模の DDoS攻撃が続々発生”, http://itpro.nikkeibp.co.jp/atcl/idg/14/481542/092800277/?ST=cm-wireless&P=1, (参照 2017-07-21).
[25] ANGRISHI, Kishore. “Turning Internet of Things (IoT) into Internet of Vulnerabilities (IoV): IoT Botnets”, arXiv preprint arXiv:1702.03681, 2017.
[26] ESET, “Linux IoTデバイスを狙う「Mirai」ボットネットの拡散とDDoS攻撃に注意”, https://eset-info.canon-its.jp/malware_info/news/detail/161006.html, (参照2017-07-21).
[27] “IoT 機器を狙う「Mirai」やその亜種の感染を目的とするアクセスが増加(警
察庁)”,https://scan.netsecurity.ne.jp/article/2017/01/23/39367.html, (参照 2017-07-21).
[28] “akamai の [ イ ン タ ー ネ ッ ト の 現 状 ] / セ キ ュ リ テ ィ ”.
https://www.akamai.com/jp/ja/multimedia/documents/state-of-the-internet/q4-2016-state-of-the-internet-security-executive-summary.pdf, (参照 2017-07-21).
[29] MIPSel- Wikipedia. https://de.wikipedia.org/wiki/MIPSel, (参照2017-07-21).
[30] サンドボックスとは. http://blogs.mcafee.jp/mcafeeblog/2015/07/6-5b8c.html, (参照 2017-08-09).
[31] 中山颯, et al.“IoT 機器への Telnet を用いたサイバー攻撃の分析”, コンピュータセ
キュリティシンポジウム 2016 論文集 2016.2 (2016): 870-877.
[32] Inoue Daisuke, et al. “Automated malware analysis system and its sandbox for revealing malware's internal and external activities”, IEICE transactions on information and systems 92.5 (2009): 945-954.
[33] Bayer Ulrich, et al. “Dynamic analysis of malicious code”, Journal in Computer Virology 2.1 (2006): 67-77.
[34] Willems Carsten, et al. “Toward automated dynamic malware analysis using cwsandbox”, IEEE Security & Privacy 5.2 (2007).
[35] Kruegel, et al. “Ttanalyze: A tool for analyzing malware”, Proceedings of the 15th European Institute for Computer Antivirus Research (EICAR 2006) Annual Conference. Vol.
4. 2006.
[36] Norman Sandbox. http://www.norman.com/en-ww/homepage, (参照 2017-07-28).
[37] 鉄穎, et al. “マルウェアのポート待ち受け状態を考慮した並列動的解析環境のネッ
トワーク制御”, コンピュータセキュリティシンポジウム 2013 論文集 2013.4 (2013): 761-768.
[38] 鉄穎, et al. “多数のマルウェア検体を並列解析可能な動的解析システムの提案”,
コンピュータセキュリティシンポジウム 2012 論文集 2012.3 (2012): 728-735.
[39] Lin Ying, et al. “Secure and transparent network traffic replay, redirect, and relay in a dynamic malware analysis environment”, Security and Communication Networks 7.3 (2014): 626-640.
[40] The netfilter.org “iptables'” project,
http://www.netfilter.org/projects/iptables/index.html, (参照 2017-07-21).
[41] Arne Welzel, et al. “On Measuring the Impact of DDoS Botnets”, 7th European Workshop on Systems Security, EuroSec 2014.
[42] Hoque, Nazrul, Dhruba K. Bhattacharyya, and Jugal K. Kalita. "Botnet in DDoS attacks: trends and challenges." IEEE Communications Surveys & Tutorials 17.4 (2015):
2242-2270.
[43] Zargar, et al. “A survey of defense mechanisms against distributed denial of service (DDoS) flooding attacks”, IEEE communications surveys & tutorials 15.4 (2013): 2046-2069.
[44] Santanna, et al. “Booters—An analysis of DDoS-as-a-service attacks”, Integrated Network Management (IM), 2015 IFIP/IEEE International Symposium, 2015.
[45] “Debian – ユ ニ バ ー サ ル オ ペ レ ー テ ィ ン グ シ ス テ ム ” ,
https://www.debian.org/index.ja.html, (参照2017-07-21).
[46] python. https://www.python.org/about/, (参照 2017-07-21).
[47] Dr.WEB. https://www.drweb.co.jp/, (参照 2017-07-25).
[48] Rhena Inocencio, “BASHLITE Affects Devices Running on BusyBox”, http://blog.trendmicro.com/trendlabs-security-intelligence/bashlite-affects-devices-running-on-busybox/, (参照 2017-11-21).
[49] IIJ-SECT, “Hajime, Mirai に よ る 通 信 の 推 移 ”,
https://sect.iij.ad.jp/d/2017/09/072602.html#fn:footnote1, (参照 2017-11-22).
[50] IP2LOCATION. https://www.ip2location.com/, (参照2017-08-13).
[51] DNSDB. https://api.dnsdb.info/, (参照 2017-07-28).
[52] GeoIP. http://dev.maxmind.com/geoip/legacy/geolite/, (参照 2017-07-28).
[53] 総 務 書 , “ 平 成 28 年 版 情 報 通 信 白 書 の ポ イ ン ト ”,
http://www.soumu.go.jp/johotsusintokei/whitepaper/ja/h28/pdf/28point.pdf, (参照 2018-01-12).
[54] IoT 推 進 コ ン ソ ー シ ア ム , “IoT セ キ ュ リ テ ィ ガ イ ド ラ イ ン ver1.0”, http://www.soumu.go.jp/main_content/000421617.pdf, (参照2018-01-12).
[55] 日 本 電 機 工 業 会 ,“汎 用 電 気 機 器 更 新 の お す す め”, https://www.jema-net.or.jp/jema/data/18-hanyo.pdf, (参照2018-01-12).
[56] “IoT の 特 性 か ら 考 え る セ キ ュ リ テ ィ ”,
http://www.nttdata.com/jp/ja/insights/blog/20170831.html, (参照2018-01-12).
[57] “Krebs on Security”, https://krebsonsecurity.com/, (参照2018-01-12).
[58] B. Krebs., “KrebsOnSecurity Hit With Record DDoS”, https://krebsonsecurity.com/2016/09/krebsonsecurity-hit-with-record-ddos/, (参照 2018-01-12).
[59] Antonakakis, Manos, et al. “Understanding the Mirai Botnet”, Usenix (2017).
[60] B. Krebs., “Source Code for IoT Botnet ‘Mirai’ Released”, https://krebsonsecurity.com/2016/10/source-code-for-iot-botnet-mirai-released/, (参照 2018-01-12).
[61] D.Etherington, K. Conger, “Large DDoS attacks cause outages at Twitter, Spotify, and other sites”, https://techcrunch.com/2016/10/21/many-sites-including-twitter-and-spotify-suffering-outage/, (参照2018-01-12).
[62] D Inoue, M Eto, K Yoshioka, S Baba, K Suzuki, J Nakazato, K Ohtaka, and K Nakao,
“nicter:An Incident Analysis System for the Global Internet using Correlation between Network Monitoring and Malware Analysis”, 電子情報通信学会技術研究報告 DE, vol. デ ータ工学 106(290), pp. 25–30, Oct. 2006.
[63] K Yoshioka and T Matsumoto, “Multi-pass Malware Sandbox Analysis with Controlled Internet Connection”, IEICE Trans, vol. E93-A, no. 1, pp. 210–218, 2010.
[64] “ア ン チウ イ ルス 分野の 先 駆者 たち”,https://company.drweb.co.jp/first/, (参照 2018-01-13).
[65] “ウイルスの歴史”, https://www.gdata.co.jp/labs/history, (参照2018-01-13).
[66] 井上大介, et al. “マルウェア: 1. マルウェアって?”, 情報処理, 2010, 51.3: 237-243.
[67] 水戸慎, et al, “ZeroAccessボットネットにおける新規プラグイン拡散のリアルタイム検
知”, 電子情報通信学会暗号と情報セキュリティシンポジウム2014, 論文集, 2014.
[68] “IoT_reaper: A Rappid Spreading New IoT Botnet”, http://blog.netlab.360.com/iot_reaper-a-rappid-spreading-new-iot-botnet-en/, (参照 2018-01-13).
[69] GUARNIERI, Claudio, et al. The cuckoo sandbox. 2012.
[70] SOLUTIONS, Norman. Norman sandbox whitepaper. 2003.
[71] WILLEMS, Carsten; HOLZ, Thorsten; FREILING, Felix. “CWSandbox: Towards automated dynamic binary analysis”, IEEE Security and Privacy, 2007, 5.2: 32-39.
[72] “2017 年 第 3 四 半 期 の 「 イ ン タ ー ネ ッ ト の 現 状 – セ キ ュ リ テ ィ レ ポ ー ト 」”, https://www.akamai.com/jp/ja/multimedia/documents/state-of-the-internet/q3-2017-state-of-the-internet-security-report.pdf, (参照2018-02-01).
[73] “Nmap: the Network Mapper - Free Security Scanner”, https://nmap.org/, (参照 2018-01-26).
[74] “ZMap · The Internet Scanner”, https://zmap.io/,(参照2018-01-26).
[75] “robertdavidgraham/masscan”, https://github.com/robertdavidgraham/masscan, (参 照2018-01-26).
[76] “p0f v3. ”, http://lcamtuf.coredump.cx/p0f3/, (参照2018-01-26).
[77] “Shodan”, https://www.shodan.io/, (参照2018-01-26).
[78] Nappa, Antonio, et al. “Cyberprobe: Towards internet-scale active detection of malicious servers”, In Proceedings of the 2014 Network and Distributed System Security Symposium (NDSS 2014). 2014.
[79] “Thug - Python low-interaction honeyclient”, https://buffer.github.io/thug/, (参 照 2018-01-26).
[80] Y. K. Mitsuaki Akiyama, “MARIONETTE: Client Honeypot for Investigating and Understanding Web-based Malware Infection on Implicated Websites”, 2009.
[81] Karuppayah, Shankar, et al. “Zeus Milker: Circumventing the P2P Zeus Neighbor List Restriction Mechanism”, Distributed Computing Systems (ICDCS), 2015 IEEE 35th International Conference on. IEEE, 2015.
[82] “Free OpenSSL Heartbleed Vulnerability Scanner”, Rapid7.
http://www.rapid7.com/resources/free-security-software-downloads/openssl-heartbleed-vulnerability-scanner.jsp, (参照2018-01-26).
[83] サイバー攻撃観測・分析・対策システムNICTER, http://www.nicter.jp/, (参照 2018-01-27).
[84] インターネット定点観測システムTSUBAME, https://www.jpcert.or.jp/tsubame/, (参 照2018-01-27).
[85] The UCSD Network Telescope, https://www.caida.org/projects/network_telescope/, (参照2018-01-27).
[86] The Honeynet Project, http://www.honeynet.org/, (参照2018-01-27).
[87] 伊藤光恭, 針生剛男, 谷本直人. “マルウエア対策技術 (特集 ネットワークセキュリテ
ィ技術の動向)”, NTT 技術ジャ-ナル22.3 (2010): 40-44.
[88] 吉岡克成, et al. “能動的観測と受動的観測の融合によるサイバーセキュリティ情報
の収集と分析”, コンピュータセキュリティシンポジウム 2015 論文集 2015.3 (2015): 915-922.
[89] Honeyd, http://www.honeyd.org/, (参照2018-01-27).
[90] Mwcollect, https://directory.fsf.org/wiki/Mwcollect, (参照2018-01-27).
[91] Dionaea, https://github.com/DinoTools/dionaea, (参照2018-01-27).
[92] 澁谷芳洋, et al. “高対話型おとりシステムの運用経験に関する考察”, 情報処理学
会論文誌 45.8 (2004): 1921-1930.
[93] 八木毅, et al. “高対話型 Web ハニーポットにおける攻撃情報収集方式の改善”, コ
ンピュータセキュリティシンポジウム 2009 (CSS2009) 論文集 2009 (2011): 1-6.
[94] M-lab, https://www.measurementlab.net/
公表論文リスト
査読付き論文誌
J-1) 鉄穎, 楊笛, 保泉拓哉, 中山颯, 吉岡克成, 松本勉, “IoT マルウェアによる DDoS 攻撃の動的解析による観測と分析”, 情報処理学会論文誌, Vol.59, No.5, 2018.
J-2) 中山颯, 鉄穎, 楊笛, 田宮和樹, 吉岡克成, 松本勉, “IoT機器へのTelnetを 用いたサイバー攻撃の分析”, 情報処理学会論文誌, Vol.58, No.9, 2017.
国内会議
T-1) 鉄穎, 田辺瑠偉, 水戸慎, 神薗雅紀, 星澤裕二, 吉岡克成, 松本勉, “多数の
マルウェア検体を並列解析可能な動的解析システムの提案”, 情報処理学会コンピ ュータセキュリティシンポジウムCSS2012, 論文集, 728-735.
T-2) 鉄穎, 吉岡克成, 松本勉, “マルウェアのポート待ち受け状態を考慮した並列
動的解析環境のネットワーク制御”, 情報処理学会コンピュータセキュリティシンポジ ウムCSS2013, 論文集, 761-768.
T-3) 鉄穎, 清水孝一, 吉岡克成, 松本勉, “ビル管理システムへのサイバー攻撃の
ハニーポットによる実態調査”, 電子情報通信学会情報通信システムセキュリティ研 究会ICSS2016, 論文集, 7-12.
T-4) 田辺瑠偉, 鉄穎, 水戸慎, 牧田大佑, 神薗雅紀, 星澤裕二, 吉岡克成, 松本
勉, “長期動的解析によるマルウェアの特徴なDNS 通信の抽出”, 情報処理学会コ ンピュータセキュリティシンポジウムCSS2012, 論文集, 712-719.
T-5) 水戸慎, 鉄穎, 田辺瑠偉, 吉岡克成, 松本勉, “ZeroAccessボットネットにおけ る新規プラグイン拡散のリアルタイム検知”, 電子情報通信学会暗号と情報セキュリ ティシンポジウムSCIS2014, 論文集.
T-6) 小林大朗, 鉄穎, 武部達明, 鈴木和也, 吉岡克成, 松本勉, “生産制御システ
ムにおけるセキュリティ強化のためのホワイトリストベースパケットフィルタリング”,情 報処理学会コンピュータセキュリティシンポジウムCSS2014, 論文集.
T-7) 鈴木将吾, インミンパパ, 江澤優太, 鉄穎, 中山颯, 吉岡克成, 松本勉, “組込
み機器への攻撃を観測するハニーポットIoTPOTの機能拡張”, 電子情報通信学会 情報通信システムセキュリティ研究会ICSS2016, 論文集, 1-6.
T-8) 川上奈津子, 吉川亮太, 鉄穎, 田辺瑠偉, 吉岡克成, 松本勉, “囮文書の内容
に着目した標的型攻撃の分析”, 電子情報通信学会情報通信システムセキュリティ 研究会ICSS2016, 論文集.
T-9) 中山颯, 鉄穎, 楊笛, 田宮和樹, 吉岡克成, 松本勉, “IoT機器へのTelnetを 用いたサイバー攻撃の分析”,情報処理学会コンピュータセキュリティシンポジウム CSS2016, 論文集, 870-877. (CSS2016学生論文賞)
T-10) Chun-Jung Wu, Ying Tie, Katsunari Yoshioka, Tsutomu Matsumoto, “IoT malware behavior analysis and classification using text mining algorithm”, IPSJ Computer Security Symposium 2016, Session 1B3, 2016.
T-11) 楊笛, 保泉拓哉, 中山颯, 鉄穎, 吉岡克成, 松本勉, “IoT マルウェアによる DDoS 攻撃の動的解析による観測と分析”, 電子情報通信学会暗号と情報セキュリ ティシンポジウムSCIS2017, 論文集.
T-12) 田宮和樹, 中山颯, 江澤優太, 鉄穎, 呉俊融, 楊笛, 吉岡克成, 松本勉, “IoT マルウェア駆除と感染防止に関する実機を用いた実証実験”, 電子情報通信学会 暗号と情報セキュリティシンポジウSCIS2017, 論文集. (SCIS論文賞)