| 講演名 | 2013/7/11 組織内ネットワークにおける標的型攻撃の検知方式 (セキュリティ,一般) 山田 正弘, 森永 正信, 海野 由紀, 鳥居 悟, 武仲 正彦, |
|---|---|
| PDFダウンロードページ | PDFダウンロードページへ |
| 抄録(和) | 近年,標的型攻撃と呼ばれるサイバー攻撃による被害が急激に増加しており,効果的な検知技術の実現が急務である.標的型攻撃では,標的組織のネットワーク内部における内部攻撃の方法が明らかになっておらず,加えて,新たに開発された新種や,既知の攻撃ツールがカスタマイズされた亜種の攻撃ツールが利用されるため,攻撃ツール毎に特徴を定義する従来の検知技術では検知できない.このような背景から,本論文では,攻撃ツールの種類に関わらず,標的型攻撃を検知できる技術の実現を目指し,組織内ネットワークにおける内部攻撃の方法を調査,分析し,その結果に基づく内部攻撃の検知方式を提案する.具体的には,第一に,実際に著名なRAT,および組織内ネットワークでの攻撃に利用されるPass-the-hash攻撃に関連するツールを調査,分析した.この結果から,攻撃ツールによって発生する通信は通常業務に偽装され,攻撃との判別が難しいことと,一方で,内部攻撃はRATの機能とSMB管理ツールの連携によって行われることを明らかにした.第二に,分析結果に基づいて内部攻撃を検知する方式を設計して評価を行い,調査した限りで,新種や亜種の攻撃ツールを利用する場合にも,提案方式が標的型攻撃における内部攻撃を検知できることを確認した. |
| 抄録(英) | The recent increase of incidents caused by targeted attacks has realization of countermeasures against them imperative. Since attackers use self-developed tools or customized tools for targeted attacks, traditional signature-based detection doesn't work against them. In addition, activities of targeted attack on the internal network are not clear. In this paper, first, we analyze the tools used in the actual incidents, and reveal the attacking methods and their features of activities on the internal network. As a result, attackers use SMB-based remote administration tools in combination with RAT. Second, we propose a detection method based on the features. Our experiments indicate that, the proposed method can detect activities of targeted attack on the internal network, despite self-developed or customized tools. |
| キーワード(和) | |
| キーワード(英) | |
| 資料番号 | Vol.2013-CSEC-62 No.53,Vol.2013-SPT-6 No.53 |
| 発行日 |
| 研究会情報 | |
| 研究会 | ICSS |
|---|---|
| 開催期間 | 2013/7/11(から1日開催) |
| 開催地(和) | |
| 開催地(英) | |
| テーマ(和) | |
| テーマ(英) | |
| 委員長氏名(和) | |
| 委員長氏名(英) | |
| 副委員長氏名(和) | |
| 副委員長氏名(英) | |
| 幹事氏名(和) | |
| 幹事氏名(英) | |
| 幹事補佐氏名(和) | |
| 幹事補佐氏名(英) | |
| 講演論文情報詳細 | |
| 申込み研究会 | Information and Communication System Security (ICSS) |
|---|---|
| 本文の言語 | JPN |
| タイトル(和) | 組織内ネットワークにおける標的型攻撃の検知方式 (セキュリティ,一般) |
| サブタイトル(和) | |
| タイトル(英) | A Detection Method against Activities of Targeted Attack on The Internal Network |
| サブタイトル(和) | |
| キーワード(1)(和/英) | |
| 第 1 著者 氏名(和/英) | 山田 正弘 / Masahiro Yamada |
| 第 1 著者 所属(和/英) | 株式会社富士通研究所 FUJITSU LABORATORIES LTD. |
| 第 2 著者 氏名(和/英) | 森永 正信 / Masanobu Morinaga |
| 第 2 著者 所属(和/英) | 株式会社富士通研究所 FUJITSU LABORATORIES LTD. |
| 第 3 著者 氏名(和/英) | 海野 由紀 / Yuki Unno |
| 第 3 著者 所属(和/英) | 株式会社富士通研究所 FUJITSU LABORATORIES LTD. |
| 第 4 著者 氏名(和/英) | 鳥居 悟 / Satoru Torii |
| 第 4 著者 所属(和/英) | 株式会社富士通研究所 FUJITSU LABORATORIES LTD. |
| 第 5 著者 氏名(和/英) | 武仲 正彦 / Masahiko Takenaka |
| 第 5 著者 所属(和/英) | 株式会社富士通研究所 FUJITSU LABORATORIES LTD. |
| 発表年月日 | 2013/7/11 |
| 資料番号 | Vol.2013-CSEC-62 No.53,Vol.2013-SPT-6 No.53 |
| 巻番号(vol) | vol.113 |
| 号番号(no) | 137 |
| ページ範囲 | pp.- |
| ページ数 | 6 |
| 発行日 | |