研究

マルウェアの攻撃意図抽出に関する研究

マルウェアの数は増加を続けており、悪意を持った内部活動の種類も多様になっています。マルウェア解析では静的解析や動的解析を行うことでマルウェアが実行する一つ一つの命令やそれに伴う一連の挙動を収集する事ができますが、その攻撃の目的を特定するにはプログラムで実行する一連の命令・挙動から推測する必要があります。近年のマルウェアは機能が洗練されると共に、解析を困難とする仕組み（ファイルレスや難読化、サンドボックス回避など）を実装しており、マルウェアの意図の調査は益々困難になっています。本研究では、マルウェアの意図の解析を容易に実施することを目的に、仮想マシンモニタを用いたプログラム解析手法を提案しています。

回避型マルウェア検出に関する研究

新しいマルウェアに対処するためにはマルウェア解析が欠かせません。マルウェア解析の一つの手段として、計算機上でマルウェアを実際に実行し、その挙動を観察・分析する動的解析があります。動的解析では、プログラムコードの難読化や暗号化などで隠蔽されている挙動までも観察できる特徴があります。そのため、マルウェア開発者は動的解析を回避するための機能をマルウェアに組み込んでいます。その様なマルウェアをsplit-personality malwareやanalysis-aware malwareと呼びます。本研究では、split-personality malwareの検出に取り組んでいます。

巧妙化するマルウェアC2通信の検知に関する研究

近年のマルウェアには、インターネットを介して遠隔の攻撃者からコマンドを受け取るcommand & control (C2又はC&C)と呼ばれる機能が備わっています。古典的にはInternet Relay Chat（IRC）上でのテキスト交換がC2通信に用いられていました。現代ではhttp(s)を用いて様々なwebコンテンツを介したコマンド送信が行われるなど巧妙さが増しています。例えば、画像ファイルにステガノグラフィでコマンドを埋め込むC2通信も現れています。本研究ではこの様な巧妙化が進むC2通信を検知する技術の研究を行なっています。

VMM-based Anomaly Detection

Aside from its rapid development and decreasing cost, cloud computing has not been fully embraced by organizations and industries around the world because of their concern over security. One main security threat in virtualization environments of cloud computing is the guest VMs. The challenge for monitoring public IaaS is how to collect a clear view of the guest VM’s behavior without interfering guest OS’s operation. In this research, we introduce a novel observation point, static instrumentation data, and study its applicability for VM-based Anomaly Detection System.

無線とネットワークの連携による効果的な資源管理を活用した研究

インターネットにつながる機器数は増え続け、データ通信量も止まる所を知りません。昨今の通信機器は全て無線を用いてデータ通信を行っているため、特にインターネット末端部の無線区間におけるネットワーク帯域の逼迫が問題となっています。無線では「空間」という共有の通信媒体で電磁波を送受信することで通信を実現します。そのため、同一空間内（物理的に近い場所）で通信するとどうしても無線干渉が発生しますが、異なる周波数を使ったり、CSMAの仕組みで回避処理を実行することで衝突を避け、無線資源を有効に利用しています。一方、ネットワークでは、エンドツーエンド間の経路切り替えや、フロー制御でネットワーク資源の有効利用を実現しています。本研究では、これら無線とネットワークで独立して実施している資源管理を効果的に連携させ、ネットワークの帯域向上やアプリケーション要求を意識した資源管理など多様な問題解決を目指しています。なお、本研究は福岡大学や電気通信大学、信州大学、九州工業大学の研究者と連携して進めています。

キーワード: software-defined wireless network (or SDN), NFV, wireless

物理空間を意識した情報プラットフォームの研究

IoTの普及と共に通信の主体がサイバー空間の要素（サーバやクライアント）から現実世界のヒト・モノへ移っています。サーバやクライアントはインターネットの構造（IPアドレス識別子）に基づいて情報の処理・伝達を行っていましたが、ヒト・モノは現実空間の構造（物理的な位置関係）に基づいて情報の処理・伝達が行われます。IoT時代では、この様に併存・併用する2つのシステム（インターネットと物理世界）の構造に差が生じてしまうため、情報処理や伝達に極めて複雑な問題が生じてしまいます。本研究では、全く異なる構造を持つインターネットと現実空間をシームレスに連結するための研究を行っています。例えば、複数のIoT機器が物理的に近接した位置にあっても異なるネットワークに繋がってしまい、IoT機器間の連携が困難であった問題に取り組みました。また、物理的な位置を意識した情報処理や通信の仕組みも検討しています。なお、本研究は、九州工業大学や立命館大学、福岡工業大学の研究者と連携して進めています。

キーワード: distributed computing, routing, SDN, geo-centric information platform

Configuring LoRaWAN in IoT Use Cases and revision of LoRaWAN

Long Range Wide Area Network (LoRaWAN) as an IoT solutions enabler is one of the most popular software protocols instrumental in connecting low-power Machine to Machine (M2M) and IoT devices over a long range to the Internet. LoRaWAN communication protocol contains several features that contributes to uphold the low power wide area (LPWA) design criteria of low power, cost, implementation complexity and bandwidth. However, a major challenge of LoRaWAN is, its capacity is limited particularly by the duty cycle (Percentage of time on air due to regulation), transmission in the downlink through acknowledgement of frames and collision. Current methods towards improving the capacity do not provide the network with enough flexibility to adapt to network conditions and are not able to serve applications that require high capacity. This limits the possibility to use LoRaWAN in many IoT use case scenarios. Our research is geared towards evaluating, analyzing and comparing certain feature settings of specific IoT use cases in LoRaWAN and the impact on the capacity. We also propose a method to improve the capacity of IoT applications using LoRaWAN through opportunistic spectrum access.

On Finding the Quintessential Characteristics of a Security Vulnerability

Meltdown & Spectre came as natural disasters to the Information Technology world with several doomsday scenarios being professed. Yet, when we turn to the de facto standard body for assessing the severity of a security vulnerability, the Common Vulnerability Scoring System (CVSS), we surprisingly notice that Meltdown & Spectre do not command the highest scores. We witness a similar situation for other rock star vulnerabilities (vulnerabilities that have received a lot of media attention) such as Heartbleed and KRACKs. In this research, we investigate why the CVSS miserably fails at capturing the intrinsic characteristics of rock star vulnerabilities. We dissect the different elements of the CVSS (v2 and v3) to prove that there is nothing within it that can indicate why a particular vulnerability is a rock star. Further, we uncover a pattern that shows that, despite all the beautifully elaborated formulas, magic numbers and catch phrases of the CVSS, there is still a heavy presence human emotion into the scoring. We ought to leverage modern data analysis techniques and machine learning to propose a better solution for evaluating a security vulnerability.

Smartphone Security Adherence and correspondence Assistive Techniques

Billions of smartphones around the world are running an out-of-date Operating Systems(OS) despite users knowing the importance of an updated OS. We layout and analyze general users’ cybersecurity knowledge and attitudes towards their online interactions. We analyze password choices, smartphone lock behavior, phishing awareness and users’ attitudes in public Wi-Fi. We believe that insecure online behaviors are exhibited more by portable devices’ users due to their limited capability and easiness of being online most of the time. Thus, these users are more prone to various cyberattacks such as phishing, man-in-the-middle, and ARP poisoning.

We proposed and developed several strategies for assisting users not falling victims to those attacks and strategies for increasing users’ security compliance and awareness. We proposed UnPhishMe, a mobile application prototype that takes advantage of a particular weakness of phishing sites: they accept any kind of input information for authentication. It enables a mobile device user to create fake login account, with fake login credentials, that mimics user login procedure every time the user opens a login webpage and generates an alert to her. We also proposed a lightweight, scalable and immune to Single Point of Failure (SPOF) mobile application for addressing ARP poisoning attack in smart devices and IoT. The application is fundamentally based on the concept of mapping a legitimate copy of ARP cache of a device and save it to a secure long-term application memory, then later it periodically checks against the ARP cache map to determine the alteration and alert the user, so that appropriate actions can be taken.

To enforce security compliance, we redesigned smartphone security notification alerts by integrating them with free information services such as traffic status, weather tips, and others to determine whether they can increase software update compliance in comparison to ordinary plains notices.

Cyber security education

昨今、セキュリティ人材の不足が深刻化しています。また、サイバーセキュリティの領域が拡大し、ITテクノロジを使用するユーザへの被害も拡大しています。本研究では、サイバーゲーム演習ツールや自主学習用教育ゲームを作成し、学習者に与える効果を測定しています。ユーザから専門家までを対象にサイバーセキュリティに関連する知識と能力を提供することを目指しています。