修士論文要旨

おとりファイルの不可視化による利便性低下防止と欺瞞効果の両立

青池 優 (2022年2月)

サイバー攻撃は高度化を続け、組織ネットワーク内部への攻撃者の侵入を完全に防ぐことは困難な状況となっている。そこで近年では、攻撃者に侵入されることを前提としたネットワーク内部での対策が重要視されている。ネットワーク内部でのセキュリティ対策の1つに、deception技術の活用が挙げられる。deception技術とは、攻撃者を騙すことでセキュリティ効果を上げる技術である。一見尤もらしく見えるようなおとりのサーバやファイル、偽の情報などを罠として設置するといったdeception技術を導入することで、攻撃の早期検知、攻撃成功の遅延、被害の緩和などの効果が期待できる。

本研究ではdeception技術の中でも、おとりファイルに着目する。おとりファイルとは、一見本物に見える偽のファイルを罠として展開することで、攻撃者に対する欺瞞効果を期待する技術である。一般に、正当なユーザーはおとりファイルに積極的にアクセスすることはない。そのため、おとりファイルへのアクセスや外部へのアップロードなどを監視することで、攻撃の検知を期待することができる。しかし、おとりファイルをユーザーが日常的に利用する計算機環境に設置する場合、正当なユーザーにとって、ファイル操作の利便性を低下させるという課題が生じる。また、ユーザーが誤っておとりファイルに接触することで、誤検知が発生することも課題となる。

これらの課題の解決を目指し、本研究では、攻撃者視点には影響を与えず、ユーザー視点でのみおとりファイルを非表示化する手法を提案する。提案手法では、ユーザーが利用しているアプリケーションのプロセスを判定し、そこにおとりファイルを除外するための追加処理を注入することでおとりファイルを不可視化する。追加処理では、アプリケーションがファイルの情報を参照する際に用いるAPIをフックし、取得情報からおとりファイルに関するものを除外する処理を行う。この手法を、おとりファイルを用いるdeceptionシステムに追加することによって、ユーザーの利便性低下の防止を攻撃者に対する欺瞞効果を維持しながら実現する。

提案手法を実装したシステムでオーバーヘッドの測定を行い、実行速度においてユーザーの利便性へ与える影響が軽微であることを検証した。また、提案手法を導入したシステムが動作する環境へ疑似的な攻撃を行い、欺瞞効果の検証を行った。検証の結果、提案手法の有無は欺瞞効果に影響せず、提案手法による利便性低下の防止が欺瞞効果と両立されていることが確認できた。