| Item type |
Symposium(1) |
| 公開日 |
2019-10-14 |
| タイトル |
|
|
タイトル |
標的ユーザによるURLアクセスを必要としないインプラントメール攻撃の概念実証 |
| タイトル |
|
|
言語 |
en |
|
タイトル |
Implant Email Attack That Does Not Require URL Access by Target User |
| 言語 |
|
|
言語 |
jpn |
| キーワード |
|
|
主題Scheme |
Other |
|
主題 |
標的型攻撃,セキュリティアプライアンス,サンドボックス回避 |
| 資源タイプ |
|
|
資源タイプ識別子 |
http://purl.org/coar/resource_type/c_5794 |
|
資源タイプ |
conference paper |
| 著者所属 |
|
|
|
横浜国立大学大学院環境情報学府 |
| 著者所属 |
|
|
|
東京大学大学院情報理工学系研究科 |
| 著者所属 |
|
|
|
横浜国立大学先端科学高等研究院 |
| 著者所属 |
|
|
|
横浜国立大学大学院環境情報研究院/先端科学高等研究院 |
| 著者所属 |
|
|
|
横浜国立大学大学院環境情報研究院/先端科学高等研究院 |
| 著者所属(英) |
|
|
|
en |
|
|
Graduate School of Environment and Information Sciences, Yokohama National University |
| 著者所属(英) |
|
|
|
en |
|
|
Graduate School of Information Science and Technology, The University of Tokyo |
| 著者所属(英) |
|
|
|
en |
|
|
Institute of Advanced Sciences, Yokohama National University |
| 著者所属(英) |
|
|
|
en |
|
|
Graduate School of Environment and Information Sciences, Yokohama National University / Institute of Advanced Sciences, Yokohama National University |
| 著者所属(英) |
|
|
|
en |
|
|
Graduate School of Environment and Information Sciences, Yokohama National University / Institute of Advanced Sciences, Yokohama National University |
| 著者名 |
井上, 雄太
約宇武蓄, 陽
田辺, 瑠偉
吉岡, 克成
松本, 勉
|
| 著者名(英) |
Yuta, Inoue
Ian, Iakubchik
Rui, Tanabe
Katsunari, Yoshioka
Tsutomu, Matsumoto
|
| 論文抄録 |
|
|
内容記述タイプ |
Other |
|
内容記述 |
近年,検査対象ファイルをサンドボックス内で実行し悪性挙動を検知するセキュリティアプライアンスの導入が進んでいる.しかし,標的マシンでのみ不正活動を行い,他の環境では無害を装うマルウェアによる検知回避が問題となっている.先行研究では,事前に送付した電子メールに記載されたURL を標的ユーザにクリックさせることで,標的マシンのDNS キャッシュやCookie などに識別子をインプラントし,その後,識別子が存在する環境でのみ動作するマルウェアを送ることでサンドボックス解析を回避する攻撃の可能性が示されている.本研究では,画像が埋め込まれたHTML メールをWeb ブラウザで閲覧したときにキャッシュされる画像データを利用することで,標的ユーザがHMTL メールを閲覧しただけで識別子をインプラントできることを示す.また,メーラが受信メールをマシン内に保存する仕組みを利用することで,標的ユーザがインプラントメールを受信しただけで識別子をインプラントできることを示す.検証実験では,特定のWeb ブラウザとメールサービスの組合せにおいて,画像キャッシュが識別子として悪用され得ることを確認した.さらに,特定のメーラにおいて,インプラントメールが識別子として悪用され得ることを確認した.これらの攻撃では,標的ユーザがメール内のURL にアクセスしなくともインプラントが可能であることから,インプラントメール攻撃の脅威は増大する.そのため,Web ブラウザの画像キャッシュやメーラの受信メールを識別子として悪用されないための対策が必要である. |
| 論文抄録(英) |
|
|
内容記述タイプ |
Other |
|
内容記述 |
In recent years, security appliances that are aimed to prevent intrusion of malware are increasing. However, there is a risk that attackers may use malware that performs malicious activity only on the target machine.In the previous research, it has been confirmed that by making the target click the URL, which is described in the email sent beforehand, an identifier can be implanted in the DNS cache or cookie of the target machine. Using this implant adversaries can send a malware that searches for the implant and evade sandbox analysis. In this study, we show that by sending an image file embedded HTML email to the target, adversaries can implant an identifier into the target system when the target opens the email through a Web browser. Furthermore, we show that by sending an email to the target, the adversaries can implant an identifier into the target system when the target receives the email through a mailer. In the experiment, we confirmed that with the combination of a specific web browser and mail services, adversaries can identify the target machine using the image cache. Similarly, with a specific mailer, adversaries can identify the target machine using the implant email. In this attack scenario, the target user does not have to click the URL and that the threat of implant email attack will increase. Therefore, it is necessary to prevent image cache of Web browsers and email files of mailers to be misused as identifiers. |
| 書誌レコードID |
|
|
|
識別子タイプ |
NCID |
|
|
関連識別子 |
ISSN 1882-0840 |
| 書誌情報 |
コンピュータセキュリティシンポジウム2019論文集
巻 2019,
p. 1454-1461,
発行日 2019-10-14
|
| 出版者 |
|
|
言語 |
ja |
|
出版者 |
情報処理学会 |
IPSJCSS2019205.pdf (795.8 kB)
