WEKO3
アイテム
システムコールの監視を利用したメモリフォレンジックによる鍵回復手法の提案
https://ipsj.ixsq.nii.ac.jp/records/2005106
https://ipsj.ixsq.nii.ac.jp/records/20051060a4fb27a-7396-4f65-a587-0bdb830bb06f
| 名前 / ファイル | ライセンス | アクション |
|---|---|---|
IPSJ-DICOMO2025081.pdf (944.2 KB)
2027年6月18日からダウンロード可能です。
|
Copyright (c) 2025 by the Information Processing Society of Japan
|
|
| 非会員:¥660, IPSJ:学会員:¥330, DLIB:会員:¥0 | ||
| Item type | Symposium(1) | |||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|
| 公開日 | 2025-06-18 | |||||||||||
| タイトル | ||||||||||||
| 言語 | ja | |||||||||||
| タイトル | システムコールの監視を利用したメモリフォレンジックによる鍵回復手法の提案 | |||||||||||
| 言語 | ||||||||||||
| 言語 | jpn | |||||||||||
| キーワード | ||||||||||||
| 主題Scheme | Other | |||||||||||
| 主題 | ネットワーク・システムセキュリティ(1) | |||||||||||
| 資源タイプ | ||||||||||||
| 資源タイプ識別子 | http://purl.org/coar/resource_type/c_5794 | |||||||||||
| 資源タイプ | conference paper | |||||||||||
| 著者所属 | ||||||||||||
| はこだて未来大 | ||||||||||||
| 著者所属 | ||||||||||||
| はこだて未来大 | ||||||||||||
| 著者所属 | ||||||||||||
| はこだて未来大 | ||||||||||||
| 著者名 |
樋口, 諒
× 樋口, 諒
× 稲村, 浩
× 石田, 繁巳
|
|||||||||||
| 論文抄録 | ||||||||||||
| 内容記述タイプ | Other | |||||||||||
| 内容記述 | 近年,ランサムウェアによる被害が増加しており,その対策が必須となっている.警察庁によると,バックアップの取得によりランサムウェア暗号化攻撃から被害直前の水準まで復元できたケースは 3 割未満である.バックアップを利用しない手法としてメモリフォレンジックによる鍵の回復手法が知られている.この手法は,ランサムウェアが使用しているメモリから暗号鍵を取得し被害ファイルを復元する.メモリフォレンジックではメモリ上に暗号鍵が存在するタイミングでメモリを調べることが重要である.本稿では,鍵の復元可能性の向上を目的とし,囮ファイルに対する write システムコールを監視することで,ランサムウェアプロセスを検知・特定し,ランサムウェアプロセスを停止させメモリダンプする手法を提案する.囮ファイル 1 つに対して暗号化攻撃を行い,ランサムウェアプロセス停止の有無によって復元の可否を確認することで提案手法を評価した.その結果,プロセスを一時停止させることでメモリ内容の一貫性を確保した状態でのメモリダンプが可能となり,暗号鍵を回復することが確認できた.しかしながら,囮ファイルへの write システムコールの監視をすり抜けるケースも見られた. | |||||||||||
| 書誌情報 |
マルチメディア,分散,協調とモバイル(DICOMO2025)シンポジウム2025論文集 巻 2025, p. 600-606, 発行日 2025-06-18 |
|||||||||||
| 出版者 | ||||||||||||
| 言語 | ja | |||||||||||
| 出版者 | 情報処理学会 | |||||||||||
