ISEC/SITE/ICSS/CSEC/SPT合同研究会 B会場
- akirakanaoka
- 1853
- 0
- 0
- 0
#csec50 @expl01tさんのご発表。 最初に予稿にない話。暗号の脆弱性の種類。きたいかに関係するもの、実装の問題、プロトコル?
2010-07-01 11:48:44ハンドシェーク後、httpプロトコル確立までを攻撃者が未完にしておいて、正当な利用者のリクエストとがっちゃんこできる。? #csec50
2010-07-01 12:01:17NTT青木一史さんのご発表で「検索エンジンによるマルウェア接続先評価手法の提案」 #icss11
2010-07-01 13:25:46論文概要:マルウェア動的解析はネット接続環境でやるとより多くの解析結果を取得可能。だけどそれは外部攻撃の危険性。接続制限の必要。そこでマルウェアから抽出した接続先の被リンク数を検索エンジンを用いて調査。結果、被リンク数は一般サイトに比べて小さいことが判明。 #icss11
2010-07-01 13:25:55マルウェアがC&Cやマルウェアダウンロードに用いるプロトコル:IRC、HTTP、独自…。最近はHTTPが増えている。そこでマルウェアが行うHTTPのうち、C&Cサーバとの通信とマルウェアDLの通信だけを特定。 #icss12
2010-07-01 13:32:27C&CサーバとマルウェアDLサイトは「検索結果から取得できない」「そのサイトへのリンク(被リンク)数が少ない」と仮定。その仮定が正しいかどうか調査。ハニポでマルウェア取得して動的解析でHTTP通信を同定、URLを抽出。そしてYAHOO!の検索APIでチェック。 #icss12
2010-07-01 13:38:52受動的攻撃のマルウェアのほとんどがHTTPで通信をしている。能動的攻撃をするマルウェアでも、IRCに次いでHTTPが多い #icss12
2010-07-01 13:43:53チェックの結果、HTTP通信先がFQDNの場合は6割以上がリンク・被リンクなし。IPアドレスの場合は9割以上がリンク・被リンクなし。 #icss12
2010-07-01 13:45:18横国大吉岡先生:検出に用いる場合の閾値の検討は?→大体の線は引けるが一部外れるものもあるので別途対処が必要。 #icss12
2010-07-01 13:50:27つづいては 首都大学渡辺健太さんで「可逆情報埋込に基づくアクセス制限型画像改ざん検出」 #icss12
2010-07-01 13:51:35検索エンジンによって結果が違うと思うが評価した?⇒googleは被リンク数が参照できなくなったと聞いており、やってない。 #icss12
2010-07-01 13:51:54論文概要:画像と鍵からハッシュ生成し、画像データ内に可逆に埋める。それにより改ざんの検出と個所特定の権限分離可能に。また従来手法はハッシュ処理と暗号化処理が必要だったが、ハッシュ処理だけでO.K.に。 #icss12
2010-07-01 13:51:54ここでいう従来手法とは2009年のIEICEトランザクションでHanらが発表した手法。 #icss12
2010-07-01 13:54:44つづいて、NICT高橋健志で「サイバーセキュリティオペレーションのための情報オントロジの構築」 #icss12
2010-07-01 14:13:54論文概要:サイバーセキュリティ脅威は国を越えてくる。が対応は組織・機関が個別実施。その原因は情報交換フォーマット・フレームワークが共有されていないから。フレームワークの土台を構築すべく、サイバーセキュリティ情報のオントロジを提案。提案に基づき規格の網羅性も議論。 #icss12
2010-07-01 14:14:08【仕事ネタ】#icss12のセッション弘前まで行きたかった。資料の事後配布などは予定されているんでしょうか?弊社のマルウェア検出は別のアプローチを行うものでして..http://bit.ly/duHLdY
2010-07-01 14:15:44この問題は、企業、組織の機密情報に関わり根が深いですが… RT @akirakanaoka: 論文概要:サイバーセキュリティ脅威は国を越えてくる。が対応は組織・機関が個別実施。その原因は情報交換フォーマット・フレームワークが共有されていないから。 #icss12
2010-07-01 14:18:04ここでいうフォーマットには、たとえばIODEFとかCAPEC、CCE、CVE、CVSS、OVAL、CPE、CWEなどなど。 #icss12
2010-07-01 14:18:20