| Item type |
Journal(1) |
| 公開日 |
2019-03-15 |
| タイトル |
|
|
タイトル |
車載LANへ侵入するマルウェアの証拠保全を行うカーネル上のフォレンジック機構 |
| タイトル |
|
|
言語 |
en |
|
タイトル |
Forensics Mechanism in Kernel Land to Preserve Evidence of Malware Intruding into In-vehicle LAN |
| 言語 |
|
|
言語 |
jpn |
| キーワード |
|
|
主題Scheme |
Other |
|
主題 |
[特集:レジリエントな情報システム構築によるインターネットと運用技術] システムセキュリティ,コンピュータウィルス,フォレンジクス,IVI,CAN |
| 資源タイプ |
|
|
資源タイプ識別子 |
http://purl.org/coar/resource_type/c_6501 |
|
資源タイプ |
journal article |
| 著者所属 |
|
|
|
奈良先端科学技術大学院大学先端科学技術研究科 |
| 著者所属 |
|
|
|
広島市立大学大学院情報科学研究科 |
| 著者所属 |
|
|
|
奈良先端科学技術大学院大学総合情報基盤センター |
| 著者所属 |
|
|
|
奈良先端科学技術大学院大学総合情報基盤センター |
| 著者所属(英) |
|
|
|
en |
|
|
Graduate School of Science and Technology, Nara Institute of Science and Technology |
| 著者所属(英) |
|
|
|
en |
|
|
Graduate School of Information Sciences, Hiroshima City University |
| 著者所属(英) |
|
|
|
en |
|
|
Information Initiative Center, Nara Institute of Science and Technology |
| 著者所属(英) |
|
|
|
en |
|
|
Information Initiative Center, Nara Institute of Science and Technology |
| 著者名 |
大平, 修慈
井上, 博之
新井, イスマイル
藤川, 和利
|
| 著者名(英) |
Shuji, Ohira
Hiroyuki, Inoue
Ismail, Arai
Kazutoshi, Fujikawa
|
| 論文抄録 |
|
|
内容記述タイプ |
Other |
|
内容記述 |
インターネットとつながる自動車において,カーナビ等の車載インフォテインメントシステム(IVI)へのマルウェアの侵入等による車載LANへのサイバー攻撃が問題となっている.また,マルウェアのような不正なプログラムによる事故が発生した場合,ドライバの過失によるものなのか,マルウェアの車載LANへの侵入・攻撃によるものなのかを区別する仕組みはない.不具合や事故が起こった後のデジタル・フォレンジックのためには,その原因となった事象の証拠保全を行う機構が必要となる.先行研究として,車載LAN上のストレージデバイスを用いて車載LANデータを保全するフォレンジック機構が提案されているが,車載LANデータのみ保全するため,いつ感染したのか,どのようなマルウェアなのか等を調べることができない.さらに,マルウェアから証拠保全を妨害されないといった保証もない.本研究では,IVIへ侵入するマルウェアおよび車載LANデータの証拠保全を行うフォレンジック機構を提案する.マルウェアからの耐性を高める目的として,OSカーネル上にフォレンジック機構を組み込み,マルウェアの証拠データを保全する.フォレンジック機構の評価として,車載LANへ侵入するマルウェアとしてMiraiに車載LANへDoS攻撃を行う機能を追加したマルウェアを感染させる実験を行い,その際の証拠データを分析した.実験結果から,保全された証拠データからマルウェアの攻撃時の特徴的なシステムコールや車載LANの異常なメッセージの増加,感染時にTelnet通信が頻繁に行われるといった挙動が観測でき,フォレンジック機構の有効性を確認した.また,フォレンジック機構が,アンチデバッグ等の耐解析手法に対し高い耐性があることと,車載システムにおいて十分なパフォーマンスで動作可能であることを示す. |
| 論文抄録(英) |
|
|
内容記述タイプ |
Other |
|
内容記述 |
Cyber-attacks, such as the intrusion of malware on in-vehicle infotainment systems (IVI), are becoming a problem. At present, there is no mechanism to distinguish between an accident caused by a driver's negligence or an accident caused by malware infiltration into an in-vehicle LAN. A mechanism to preserve the evidence data of the accident is needed for the digital forensics following the accident. A previous study has proposed a forensic mechanism for preserving in-vehicle LAN data using storage devices, however the study failed to find out when the system was infected and what kind of malware was used. In addition, there is no guarantee that the storage device will be kept from damage, or that evidence integrity will not be disturbed by malware. In this research, we propose a forensic mechanism on the kernel land that preserves the evidence of the malware invading the in-vehicle LAN. For the purpose of enhancing the resistance to malware, a forensic mechanism was incorporated on the OS kernel and the evidence data of the malware was reserved. As an evaluation of the forensic mechanism, we conducted experiments in which an IVI, incorporating the forensic mechanism, was infected with a malware called Mirai that adds a command to DoS-attack the in-vehicle LAN, and the behavior of the evidence data at that time was observed. From the results, it was found that observation of the characteristic system call at the time of the malware attack and the abnormal message of the in-vehicle LAN from the preserved evidence data is possible. It was also observed that Telnet communication was frequent at the time of infection, therefore, the effectiveness of the forensic mechanism was confirmed. We also showed that the forensic mechanism is highly resistant to debugging and that it can operate with sufficient performance in an in-vehicle system. |
| 書誌レコードID |
|
|
収録物識別子タイプ |
NCID |
|
収録物識別子 |
AN00116647 |
| 書誌情報 |
情報処理学会論文誌
巻 60,
号 3,
p. 791-802,
発行日 2019-03-15
|
| ISSN |
|
|
収録物識別子タイプ |
ISSN |
|
収録物識別子 |
1882-7764 |
IPSJ-JNL6003009.pdf (1.7 MB)
