2H-1: 匿名通信システムTorに対する指紋攻撃とその対策に関する検討
匿名通信システムTorに対する指紋攻撃とその対策に関する検討
現在,パケットの通信を盗聴することで利用者がアクセスするWeb サイトを特定しようとする行為 が問題となっている.この問題解決のため,現在注目されている技術が匿名通信システムである.その中 で普及しているシステムの一つとしてThe Onion Router(Tor) がある.Tor は複数のプロキシを経由する ことで高い匿名性を実現しているが,これを脅かそうとする攻撃が考案されつつある.その中でも代表的 なTor への攻撃手法として「指紋攻撃」と呼ばれる攻撃が存在する.これは流れるトラフィックからWeb サイトの特徴となるトラフィックを抽出することで,利用者のアクセスするWeb サイトを特定する手法で あり,本論文では,指紋攻撃に対する耐性を持たせるような手法を検討する.そこで本手法では,通信時 に読み込まれるトラフィックを,特徴の少ない情報であるHTML ファイルとその他のコンテンツに分離 する.このとき,一方でHTML ファイルのみを,他方で利用者の必要とする画像コンテンツをそれぞれ Tor の別の経路を用いて読み込むようにすることで指紋攻撃の脅威を低減することを試みる.そして,こ の提案手法について実験を行うことで評価し,その有効性について示す.
- 発表者: 横山 絵美里 (宮崎大)
- 宗 裕文 (宮崎大)
- 山場 久昭 (宮崎大)
- 久保田 真一郎 (宮崎大)
- 朴 美娘 (神奈川工科大)
- 岡崎 直宣 (宮崎大)
2H-2: 匿名通信システムにおける悪用ユーザ特定手法の検討
匿名通信システムにおける悪用ユーザ特定手法の検討
近年,利用者がアクセスしたWeb サイトが特定されてしまうことを防ぐ,匿名通信システムが注目 されている.その中で最も普及しているのがThe Onion Routing(Tor)である.Tor は健康相談や電子投 票等の,誰がどこに送信したか,ということを知られたくない場合の情報交換に利用されることを本来の 目的としている.しかし,Tor が違法行為を匿名で行う目的で悪用ユーザに利用されるケースがある.こ のことが,多くの善良なユーザが本来の目的でTor を利用することを妨げることにつながっていると考え られる.そこで本提案は,本来Tor の匿名性を低下させようとする者が行う既存の利用者特定手法を上手 く利用することができないかと考えた.具体的には,悪用ユーザの利用を抑制するために,悪用ユーザに 利用されることの多い情報を扱うWeb サイトを模擬するサイトを導入し,そのサイトと協調動作をするこ とで,高い確率で悪用ユーザのIP アドレスを特定する手法を提案する.実験により,従来の不特定のサイ トの指紋情報を用いる方法と比較し,提案手法の効果を検証する.
- 発表者: 宗 裕文 (宮崎大)
- 横山 絵美里 (宮崎大)
- 山場 久昭 (宮崎大)
- 久保田 真一郎 (宮崎大)
- 朴 美娘 (神奈川工科大)
- 岡崎 直宣 (宮崎大)
2H-3: RDPサービスへの分散型ブルートフォース攻撃
RDPサービスへの分散型ブルートフォース攻撃
ネットワークセキュリティ分野において,ブルートフォース攻撃とは,ネットワークサービスの利用に必要なユーザ名とパスワードの組合せの取得を試みる攻撃を指す.侵入検知システム(IDS, Intrusion Detection System)は,このブルートフォース攻撃である可能性が高い通信を検知することができる.しかし近年では,このIDSによる誤検知を装ったブルートフォース攻撃の発生も報告されるようになっている.本稿では,IDSログを対象とした拠点間横断分析により,RDP(Remote Desktop Protocol)サービスへ向けた,大量の異なるIPアドレスから,少ない回数でのログイン試行を行うブルートフォース攻撃(分散型BF)を検知したので報告する.我々は,攻撃元と検知されたIPアドレス毎のログイン試行回数の合計に関する分布に着目することで,少ないログイン試行回数で一定期間のみブルートフォース攻撃が検知されたIPアドレスを抽出することができた. また我々は使い捨てIPによるブルートフォース攻撃の発生をIDSログから抽出する手法を提案しており,この手法を適用することで,分散型ブルートフォース攻撃の抽出可能性を検討した.
- 発表者: 本多 聡美 (富士通研)
- 海野 由紀 (富士通研)
- 丸橋 弘治 (富士通研)
- 武仲 正彦 (富士通研)
- 鳥居 悟 (富士通研)
2H-4: ログ解析によるマルウェア侵入検知手法の提案
ログ解析によるマルウェア侵入検知手法の提案
企業など組織におけるマルウェア侵入に対し,組織のネットワーク管理者を支援するために,インタネットなど組織外部に対して通信を中継するプロキシ装置のログに着目し,これを効率的に縮退する手法を検討した.考察では1億回/月,記録されたログから,グレイリストと呼ぶ8000件程度のアクセス先を抽出する方法を検討し,グレイリストを導き出すためのツールを作成した.グレイリストは,過去,マルウェアが侵入していなかったと想定する期間のアクセスログから切り出した,安全な通信先のみを含むと想定したアクセス先一覧と,侵入後の期間のアクセス先一覧を比較することで作成した.その結果,マルウェア侵入によってなされた通信と識別済みのアクセス先URLを含むグレイリストを作成することができた.グレイリストはネットワーク管理者の目によって,疑わしいアクセス先か否かの判断材料に利用でき,膨大なログをすべて調査することなく効率的に検知を行う支援環境が構築できた.すべてのタイプのマルウェア侵入を検知することは難しいが,少なくとも組織外に対する不審な通信を調査する目的で,短時間で問題のあるURLを検出する手段として利用できる.
- 発表者: 田中 功一 (静岡大)
- 堀川 博史 (三菱電)
- 峰野 博史 (静岡大)
- 西垣 正勝 (静岡大)
2H-5: DoS攻撃を対象としたIPトレースバックにおけるルータ負荷削減手法
DoS攻撃を対象としたIPトレースバックにおけるルータ負荷削減手法
近年のネットワーク技術の発達,普及によって,DoS攻撃をはじめとしたネットワークを利用した攻撃の規模は年々拡大している.DoS攻撃は大量のデータや通信要求を送りつけることで,対象のサービスの処理能力やトラフィックに過負荷を与える攻撃の総称である.DoS攻撃は攻撃パケットの送信元アドレスが偽装されており,被害を受けたホストが攻撃元を容易に特定できないという大きな特徴があり,その対策として存在する技術がIPトレースバックである.IPトレースバックには様々な手法が存在し,それぞれにネットワークへの影響,トレースバックに要する時間,機器にかかる負荷などの面において利点,欠点が存在する.本研究では,ネットワーク上のルータにログを保存することで攻撃元を特定するロギング方式を改良する.ロギング方式は攻撃パケットの数が少なくとも攻撃元を特定できる方式であるが,欠点としてルータに多大な負荷がかかる点が存在する.そこで本研究ではロギング方式を改良し,被害を受けたホストが攻撃を検知した後に各ルータがログの保存を開始することで,同方式におけるルータの負荷を削減する手法を提案する.