2026-05-13T19:26:50Z https://ipsj.ixsq.nii.ac.jp/oai

oai:ipsj.ixsq.nii.ac.jp:00182561 2025-01-20T04:02:15Z 1164:3925:9071:9205

ドライブ・パイ・ダウンロード攻撃によるインシデントを再現するフォレンジック支援システム A Forensic Support System for Reproduction of Incidents Caused by Drive-by Download 奥田, 裕樹 福田, 洋治 白石, 善明 井口, 信和 Yuki, Okuda Youji, Fukuta Yoshiaki, Shiraishi Nobukazu, Iguchi 本研究では，端末にマルウェアを送る主要な手段の 1 つであるドライブ ･ パイ ・ ダウンロード攻撃 (DBD 攻撃） を含むインシデントを想定し，マルウェアの感染と活動の調査を支援するシステムを開発する．本システムは，インシデント発生時の通信パケットの記録から DBD 攻撃に関連する悪性 Web サイトへのリクエストとそのレスポンス，Web クライアントの動作を再現する．悪性 Web サイトは作られてから姿を消すまでの期間が短く，端末に設置されたマルウェアが活動後に消失，または攻撃者が痕跡を消去 ・ 攪乱すると，事後の調査が困難になる．インシデント対応の初動や調査の場面で本システムを用いることで DBD 攻撃によるマルウェア感染の過程が再現できる．これをインシデントが観測 ・ 記録できる環境で実施することでマルウェア感染の過程と活動の痕跡の収集と記録を支援する． In this research, we have developed a system that supports investigation of malware infections and activities in Drive-by Download attack which is one of the dominant tool of sending malware to terminals. This system reproduces HTTP requests, responses and behavior of malicious website related to the Drive-by Download attack from the raw packets of the communication at the time of the incident occurs. As a malicious website is disappeared in a short period, when malware installed in the terminal disappears after the activity or an attacker erases / disturbs the evidence, it becomes difficult to investigation. By using this system at the initial stage and investigation of incident handling, the process of malware infection caused by Drive-by Download attack can be reproduced. Using of this system in an environment where the incident can observe and record, it supports to collect the malware infection process and its activity. 情報処理学会 2017-07-07 jpn technical report https://ipsj.ixsq.nii.ac.jp/records/182561 2188-8655 AA11235941 研究報告コンピュータセキュリティ（CSEC） 2017-CSEC-78 16 1 6 https://ipsj.ixsq.nii.ac.jp/record/182561/files/IPSJ-CSEC17078016.pdf application/pdf 1.7 MB