| 講演名 | 2022-03-08 IoTマルウェアによるポート開閉動作の実機を利用した解析 小川 航汰(横浜国大), 田辺 瑠偉(横浜国大), 吉岡 克成(横浜国大), 松本 勉(横浜国大), |
|---|---|
| PDFダウンロードページ |  PDFダウンロードページへ |
| 抄録(和) | 近年のIoT機器の増加に伴って,脆弱な機器が侵入され,サイバー攻撃に利用されるという事例が増加している.IoTマルウェアはポートの開閉状態など感染機器のネットワーク状態を変化させることがあることが知られている.しかし,IoT機器上で実際にどのようなポートが開閉されるかなど,マルウェア感染に伴うネットワーク状態の変化についての情報は少ない.そこで本研究ではまず,IoTハニーポットで収集されたマルウェア検体を仮想環境上で動的解析しネットワーク状態を変化させる挙動を調査した.調査の結果,約33%の検体が感染機器のネットワーク状態を変化させ,そのネットワーク状態の変化には多数のパターンが存在することが判明した.次に,仮想環境での動的解析の結果から,特徴的なポート待ち受け状態を引き起こす検体を抽出し,IoT機器の実機を用いて動的解析を行った.解析の結果,実機においてもポート待ち受け状態の変化が観測され,外部からのポートスキャンでこの状況を確認できることが分かった.一方で,仮想環境上でのポート待ち受け状態の変化と実機での変化は必ずしも完全には一致しないことが分かった.最後に,実機動的解析で得られたネットワーク状態の変化の情報を利用して,ポートスキャンによって非感染状態との開放ポートの差異から感染状態を推定できる可能性について議論を行う. |
| 抄録(英) | In this study, we first investigate the network state changes caused by IoT malware infection by executing malware samples, collected by IoT honeypots, in a virtual machine. As a result, we found that about 33% of the samples change the network state of infected devices and there are many patterns in the changes of the network state. Next, based on the results of the dynamic analysis in the virtual environment, we extracted samples that made unique changes in the network state and conducted the dynamic analysis using bare-metal IoT devices. As a result of the analysis, we found that changes in the network state were also observed in the actual devices, which can be confirmed by external port scanning. The change of the port listening state in the virtual environment did not always match that in the actual device. Finally, we discuss the possibility of remotely detecting infected devices by checking their port listening status. |
| キーワード(和) | IoTマルウェア / 動的解析 |
| キーワード(英) | IoT Malware / Dynamic analysis |
| 資料番号 | ICSS2021-74 |
| 発行日 | 2022-02-28 (ICSS) |
| 研究会情報 | |
| 研究会 | ICSS / IPSJ-SPT |
|---|---|
| 開催期間 | 2022/3/7(から2日開催) |
| 開催地(和) | オンライン開催 |
| 開催地(英) | Online |
| テーマ(和) | セキュリティ、トラスト、一般 |
| テーマ(英) | Security, Trust, etc. |
| 委員長氏名(和) | 吉岡 克成(横浜国大) |
| 委員長氏名(英) | Katsunari Yoshioka(Yokohama National Univ.) |
| 副委員長氏名(和) | 神谷 和憲(NTT) / 笠間 貴弘(NICT) |
| 副委員長氏名(英) | Kazunori Kamiya(NTT) / Takahiro Kasama(NICT) |
| 幹事氏名(和) | 山田 明(KDDI labs.) / 山内 利宏(岡山大) |
| 幹事氏名(英) | Akira Yamada(KDDI labs.) / Toshihiro Yamauchi(Okayama Univ.) |
| 幹事補佐氏名(和) | 木藤 圭亮(三菱電機) / 菅原 健(電通大) |
| 幹事補佐氏名(英) | Keisuke Kito(Mitsubishi Electric) / Takeshi Sugawara(Univ. of Electro-Comm.) |
| 講演論文情報詳細 | |
| 申込み研究会 | Technical Committee on Information and Communication System Security / Special Interest Group on Security Psychology and Trust |
|---|---|
| 本文の言語 | JPN |
| タイトル(和) | IoTマルウェアによるポート開閉動作の実機を利用した解析 |
| サブタイトル(和) | |
| タイトル(英) | Analyzing network status of IoT malware by dynamic analysis with bare-metal device |
| サブタイトル(和) | |
| キーワード(1)(和/英) | IoTマルウェア / IoT Malware |
| キーワード(2)(和/英) | 動的解析 / Dynamic analysis |
| 第 1 著者 氏名(和/英) | 小川 航汰 / Kota Ogawa |
| 第 1 著者 所属(和/英) | 横浜国立大学(略称:横浜国大) Yokohama National University(略称:YNU) |
| 第 2 著者 氏名(和/英) | 田辺 瑠偉 / Rui Tanabe |
| 第 2 著者 所属(和/英) | 横浜国立大学(略称:横浜国大) Yokohama National University(略称:YNU) |
| 第 3 著者 氏名(和/英) | 吉岡 克成 / Katsunari Yoshioka |
| 第 3 著者 所属(和/英) | 横浜国立大学(略称:横浜国大) Yokohama National University(略称:YNU) |
| 第 4 著者 氏名(和/英) | 松本 勉 / Tsutomu Matsumoto |
| 第 4 著者 所属(和/英) | 横浜国立大学(略称:横浜国大) Yokohama National University(略称:YNU) |
| 発表年月日 | 2022-03-08 |
| 資料番号 | ICSS2021-74 |
| 巻番号(vol) | vol.121 |
| 号番号(no) | ICSS-410 |
| ページ範囲 | pp.93-98(ICSS), |
| ページ数 | 6 |
| 発行日 | 2022-02-28 (ICSS) |