多くの研究者やベンダーが対策に取り組んでいるにもかかわらず、ドライブバイダウンロード攻撃によるマルウェア感染は後を絶たない。ドライブバイダウンロード攻撃者は人気ウェブサイトを改ざんすることで、アクセスしたユーザを複数の URL (リダイレクションチェイン)を経由して、ブラウザやプラグインの脆弱性を悪用する攻撃を実施する攻撃 URL へと転送する。ドライブバイダウンロード攻撃を防止する方法として、一般的に悪性ウェブサイトに関連する URL やドメインを掲載したブラックリストによる対策が広く実施されている。このブラックリストを作成するためには、意図的に攻撃を受けて悪性ウェブサイトを検知するための、おとりのブラウザであるハニークライアントが活用されている。しかし、攻撃に利用される URL の変動等により、ユーザが悪性ウェブサイトに通信する以前にハニークライアント が悪性ウェブサイトを検知することが困難となっている。そのため、感染後の対応が注目されている。
本研究では、ドライブバイダウンロード攻撃の発生を、プロキシログから検出する手法を提案する。プロキシログからは、ウェブコンテンツの情報は得られないものの、ユーザのアクセス先の URL の系列(URL 系列)を得ることは可能である。ドライブバイダウンロード攻撃が行われている場合の URL 系列にはリダイレクションチェインを構成する複数の URL が含まれており、それらの URL が持つ特徴 や順序関係には規則性が存在する。
本研究では、そのような規則性を、系列データの解析に優れる Convolutional Neural Network(CNN)を拡張した手法を用いて学習することにより、ドライブバイダウンロード攻撃の発生を検知する手法を提案している。プロキシログを解析する際、ログには必ず良性サイトの URL が混在するため、単純にCNN を適用すると、良性 URL も含んだ系列の特徴を学習する可能性が高い。そこで、本研究では、CNNを拡張したEvent De-noising CNN (EDCNN)を提案している。EDCNNでは、良性 URL による悪影響を軽減するために、一定範囲内に出現する 2 つの URL を畳み込むことで悪性な URL 同士を確実に畳み込む。インターネット上の良性サイトや悪性サイトへアクセスした結果を用いた評価では、EDCNN は従来手法と比較して検知性能が高く、さらに過学習の問題を解決することで検知性能を向上できることが明らかになった。
近年、各家庭において、ホームIoT (Internet of Things) 機器と呼ばれる様々な機器がインターネットに接続するようになった。インターネットに接続する機器が増えるにつれ、それらの機器を狙った攻撃が発生するようになり、ホームIoT機器の攻撃の対策は急務である。特に、ホームIoT機器の不正操作については、従来からインターネットに接続されていたパーソナルコンピュータ等の機器とは異なり、生命の危機に直結する可能性もあり、それらの攻撃への対応は重大な課題となっている。しかしながら、ホームIoT機器の操作は機器操作に用いられる通信プロトコルに従って行われるため、不正操作時に流れるパケットはユーザが当該機器をネットワーク経由で操作した際に流れるパケットとの差がなく、既知の不正パケットとのパターンマッチング等の従来の攻撃検知手法での検出は困難である。そこで、本研究では、ホームネットワークに接続された機器に対する不正操作を検出するための新たな手法を提案している。この手法では、時刻やセンサ等で観測された温度等の環境ごとに、ユーザが機器操作を行う順を学習する。そして、機器操作が行われた際には、学習されたその環境下での機器操作の順と照合し、不一致であれば不正操作と検出する。手法の評価のため、研究室内に IoT 機器を設置してホームネットワーク環境を構築し、4 人の被験者に当該機器を使用してもらい、パケットを取得した。そのパケットデータに機器への不正操作パケットを混入し、不正操作の検出率を評価した。その結果、誤検知を 6.25%に抑え、99.6%の不正操作が検出可能であった。
インシデントが発生した際には、管理者はそのインシデントに対して、迅速に対応することが求められる。インシデントの対応には、過去に発生したインシデントに関する情報は有用であり、過去の類似のインシデントの情報から、新たに発生したインシデントが早急な対応が必要なインシデントか否かといった判断や、インシデントの対応方法に関して参考となる情報を得ることができる。そこで、本研究では、このようなインシデント情報を蓄積し、新たなインシデントが発生した際に、過去に蓄積したインシデントから当該インシデントに類似したインシデントに関する情報を提示できるシステムを提案している。新たなインシデントが検知された際には、当該インシデントで発生したフロー等の特徴量を把握できる。しかしながら、それらの特徴量間の距離が近いインシデントが同種のインシデントとは限らない。そこで、本研究では、インシデントの特徴量を、類似のインシデントは近くに、異なるインシデントは遠くに写像するような写像関数をインシデントの対応結果の情報から学習し、写像関数で写像後の位置が近い過去のインシデントを検索する手法を提案している。