@inproceedings{oai:ipsj.ixsq.nii.ac.jp:02005106,
 author = {樋口, 諒 and 稲村, 浩 and 石田, 繁巳},
 book = {マルチメディア，分散，協調とモバイル(DICOMO2025)シンポジウム2025論文集},
 month = {Jun},
 note = {近年，ランサムウェアによる被害が増加しており，その対策が必須となっている．警察庁によると，バックアップの取得によりランサムウェア暗号化攻撃から被害直前の水準まで復元できたケースは 3 割未満である．バックアップを利用しない手法としてメモリフォレンジックによる鍵の回復手法が知られている．この手法は，ランサムウェアが使用しているメモリから暗号鍵を取得し被害ファイルを復元する．メモリフォレンジックではメモリ上に暗号鍵が存在するタイミングでメモリを調べることが重要である．本稿では，鍵の復元可能性の向上を目的とし，囮ファイルに対する write システムコールを監視することで，ランサムウェアプロセスを検知・特定し，ランサムウェアプロセスを停止させメモリダンプする手法を提案する．囮ファイル 1 つに対して暗号化攻撃を行い，ランサムウェアプロセス停止の有無によって復元の可否を確認することで提案手法を評価した．その結果，プロセスを一時停止させることでメモリ内容の一貫性を確保した状態でのメモリダンプが可能となり，暗号鍵を回復することが確認できた．しかしながら，囮ファイルへの write システムコールの監視をすり抜けるケースも見られた．},
 pages = {600--606},
 publisher = {情報処理学会},
 title = {システムコールの監視を利用したメモリフォレンジックによる鍵回復手法の提案},
 volume = {2025},
 year = {2025}
}