研究
実際に起こっているサイバー攻撃の観測・分析・対策や、近い将来に発生が予想される攻撃の予測など実践的で実用性の高いサイバーセキュリティ技術に興味を持って研究を行っています。これまで実績のあるテーマ、現在研究実施中のテーマは以下の通りです。
- IoTセキュリティモノのインターネット(Internet of Things: IoT)を構成する様々な機器が大量にマルウェア感染している事実を囮観測システム(ハニーポット)により世界で初めて詳細に観測、分析しました。これまで国内外の100以上の研究組織やセキュリティベンダに情報提供・マルウェア検体提供しています。また、この研究成果は情報処理推進機構「情報セキュリティ白書2016」や総務省・経済産業省が発表した「IoTセキュリティガイドラインver1.0」でも取り上げられています。また、産業制御システムなど重要なIoT機器についてアクセス制御等のセキュリティが不十分なままインターネットに接続されているケースを発見、通知、対策しています。2017年度には総務省施策である重要IoT機器の調査を受託し、ネットワーク調査、現地調査、ヒアリングなどを実施しました。さらに、家庭内のサイバー攻撃に関する研究を行うため、ホームネットワークテストベッドを構築し、検証実験を行っています。2018年からは、スマートシティのセキュリティに関する日欧共同研究プロジェクト「欧州との連携によるハイパーコネクテッド社会のためのセキュリティ技術の研究開発」にも取り組みくんでいます。さらに、令和2年から総務省委託研究「電波の有効利用のための IoT マルウェア無害化/無機能化技術等に関する研究開発」の代表受託機関として、IoTマルウェアの駆除等の対策技術の研究開発に取り組みます。
- DoS攻撃対策近年の大規模なサービス妨害攻撃の原因の1つである、反射型分散サービス妨害攻撃(Distributed Reflection Denial of Service Attack: DRDoS Attack)をリアルタイムで観測し、即時警報を発行するシステムを世界で初めて提案し運用しています。即時警報を国内ISP等に提供しています。また、これらの攻撃がCDNを回避して行われるケースや攻撃を受けた組織の特定などについて研究をしています。また、観測された攻撃の影響度を計測する試みも行っています。
- 標的型攻撃対策特定の組織や個人を狙った標的型攻撃対策の研究を行っています。標的型マルウェア検体や、これらの検体に内包される囮文書の解析により、サイバーインテリジェンスの蓄積や攻撃検知手法の開発を行っています。
- WebセキュリティWebを媒介としたサイバー攻撃の観測や対策を行う実証実験プロジェクト「WarpDrive」に参画し、悪性サイトの探索、検知を実施すると共に、実証実験に参加しているユーザのネットワーク環境のセキュリティチェックを行う機能の研究開発を実施しています。
- 高度マルウェア対策サンドボックスなどの先端防御技術を回避する高度なマルウェアへの対策を研究しています。また、既存のセキュリティ技術・サービス(例:ウイルス対策ソフト、セキュリティアプライアンス、マルウェア解析サービス)がこれらの高度なマルウェアに対して、どの程度対抗し得るのかを評価する方法の研究をしています。
- Androidセキュリティ不正なAndroidアプリが生成される仕組みや、アプリマーケットのセキュリティ対策の評価などを研究しています。これまで、正規アプリの改変により不正アプリを作成する「リパッケージ」と呼ばれる手法に対して、人気正規アプリの8割以上が脆弱であり、自動リパッケージにより容易に不正アプリ化される恐れがあることを指摘しています。また、Q&Aサイトに掲載されているプログラムコードの断片(コードスニペット)を利用してアプリを作成することがアプリの脆弱性に影響し得るかを調べています。
- サイバー攻撃の可視化スキャンやDoS攻撃などのサイバー攻撃、マルウェアの内部挙動の特徴を解析者が把握することを助けるための可視化技術の研究を行っています。
- 特徴的なパケットの検知・分類一部のマルウェアやスキャンツールが生成するパケットの特徴に着目してこれを検知する技術の研究を行っています。 開発した検知ツールtkiwaは情報通信研究機構が運用するサイバー攻撃観測・分析・ 対策システムNICTERに導入され、定常運用されると共に、 その検知結果は、総務省のマルウェア対策プロジェクトであるACTIVEに提供されました。
研究リンク
- IoTセキュリティ・研究紹介ページ(IoTハニーポット)
- DoS攻撃対策・研究紹介ページ(DRDoSハニーポット)
- 標的型攻撃対策・研究紹介ページ(囮文書の分析)
・研究紹介ページ(遠隔操作者のリアルタイム観測)
- 高度マルウェア対策・研究紹介ページ(サンドボックスの検知耐性評価):準備中
- Androidセキュリティ・研究紹介ページ(Androidアプリのりパッケージ耐性評価):準備中
- サイバー攻撃の可視化・研究紹介ページ(マルウェアの自己書き換え動作の可視化)
・研究紹介ページ(通信可視化システム「MACIVISY」)
・研究紹介ページ(ネットワーク攻撃の可視化:NICT所属時の成果)
- 特徴的なパケットの検知・分類・研究紹介ページ(特徴的なヘッダをもつ不正パケットの検知)