@article{oai:ipsj.ixsq.nii.ac.jp:00174669,
 author = {田辺, 瑠偉 and 鈴木, 将吾 and イン, ミン パ,パ and 吉岡, 克成 and 松本, 勉 and Rui, Tanabe and Shogo, Suzuki and Yin, Minn Pa Pa and Katsunari, Yoshioka and Tsutomu, Matsumoto},
 issue = {9},
 journal = {情報処理学会論文誌},
 month = {Sep},
 note = {マルウェアには，攻撃対象ホスト上のネットワークサービスの脆弱性を突いてその権限を奪取するリモートエクスプロイト攻撃や脆弱なパスワードが設定されている機器へ不正侵入を行うことで感染を拡大するものが存在し，インターネット上の重大な脅威となっている．こうしたマルウェアに感染したホストは，その脆弱性を修正しない限り感染中もさらなるリモート侵入を受ける可能性がある．一部のマルウェアは自らが侵入する際に悪用した脆弱性を感染後に修正することで他のマルウェアによる侵入を防ぐことが知られているが，マルウェア感染ホストへのリモート再侵入の可能性についてはこれまで詳しく検証されていない．そこで本稿では，実マルウェア検体を用いた動的解析実験によりマルウェア感染ホストへのリモート再侵入の可否を検証し，マルウェアに感染したホストへのリモート再侵入により感染の拡大を阻止する手法を提案する．検証実験では，ハニーポットを用いて収集したリモートエクスプロイト攻撃を行う294検体のうち，181検体においてリモート再侵入が成功した．同様に，ハニーポットを用いて収集した組み込みシステムを狙うマルウェア18検体のうち7検体においてリモート再侵入が成功した．リモート再侵入が成功したマルウェア感染ホストについては，侵入に用いたサービスや感染拡大を行っているプロセスの停止，通信の制限を行うことができた．提案手法を用いることで，保護対象ネットワーク内で発生した感染拡大活動を観測し，マルウェア感染ホストへのリモート再侵入により感染が拡大するのを阻止する，マルウェアへの早期対応を目指す．, Malware which expand infection by exploiting vulnerable network services have been a great threat on the Internet for several years. Moreover machines with default passwords and configurations, mainly embedded device, are being attacked and many security incidents have been reported. Malware infected hosts have the possibility of being takeover by other malware unless the vulnerability which the first malware abused is replaced. Although some malware are known to replace the vulnerability, not much research has been done for inspecting remote takeover. In this paper, by executing several malware samples which expand infection using remote exploit attack and password cracking, we examine the potentiality of remote takeover against malware infected hosts and propose a malware infection expansion interception method. From the results of our experiment, out of 294 malware samples which were collected by honeypot and expanding infection by remote exploit attack, 181 malware samples were successful for remote takeover. Equally, out of 18 malware samples which targeted embedded device and expanded infection by password cracking, 7 malware samples were successful for remote takeover. By using remote takeover, we were successful to stop the service which was used for remote takeover and the malicious processes which was expanding infection. We were also successful to drop packets which were targeted to expand infection for embedded devices. Our proposal method is to intercept malware infection expansion at target network by conducting remote takeover against hosts which are attacking others.},
 pages = {2021--2033},
 title = {マルウェア感染ホストへのリモート再侵入により感染拡大を阻止する手法},
 volume = {57},
 year = {2016}
}