@inproceedings{oai:ipsj.ixsq.nii.ac.jp:00201498,
 author = {井上, 雄太 and 約宇武蓄, 陽 and 田辺, 瑠偉 and 吉岡, 克成 and 松本, 勉 and Yuta, Inoue and Ian, Iakubchik and Rui, Tanabe and Katsunari, Yoshioka and Tsutomu, Matsumoto},
 book = {コンピュータセキュリティシンポジウム2019論文集},
 month = {Oct},
 note = {近年，検査対象ファイルをサンドボックス内で実行し悪性挙動を検知するセキュリティアプライアンスの導入が進んでいる．しかし，標的マシンでのみ不正活動を行い，他の環境では無害を装うマルウェアによる検知回避が問題となっている．先行研究では，事前に送付した電子メールに記載されたURL を標的ユーザにクリックさせることで，標的マシンのDNS キャッシュやCookie などに識別子をインプラントし，その後，識別子が存在する環境でのみ動作するマルウェアを送ることでサンドボックス解析を回避する攻撃の可能性が示されている．本研究では，画像が埋め込まれたHTML メールをWeb ブラウザで閲覧したときにキャッシュされる画像データを利用することで，標的ユーザがHMTL メールを閲覧しただけで識別子をインプラントできることを示す．また，メーラが受信メールをマシン内に保存する仕組みを利用することで，標的ユーザがインプラントメールを受信しただけで識別子をインプラントできることを示す．検証実験では，特定のWeb ブラウザとメールサービスの組合せにおいて，画像キャッシュが識別子として悪用され得ることを確認した．さらに，特定のメーラにおいて，インプラントメールが識別子として悪用され得ることを確認した．これらの攻撃では，標的ユーザがメール内のURL にアクセスしなくともインプラントが可能であることから，インプラントメール攻撃の脅威は増大する．そのため，Web ブラウザの画像キャッシュやメーラの受信メールを識別子として悪用されないための対策が必要である．, In recent years, security appliances that are aimed to prevent intrusion of malware are increasing. However, there is a risk that attackers may use malware that performs malicious activity only on the target machine.In the previous research, it has been confirmed that by making the target click the URL, which is described in the email sent beforehand, an identifier can be implanted in the DNS cache or cookie of the target machine. Using this implant adversaries can send a malware that searches for the implant and evade sandbox analysis. In this study, we show that by sending an image file embedded HTML email to the target, adversaries can implant an identifier into the target system when the target opens the email through a Web browser. Furthermore, we show that by sending an email to the target, the adversaries can implant an identifier into the target system when the target receives the email through a mailer. In the experiment, we confirmed that with the combination of a specific web browser and mail services, adversaries can identify the target machine using the image cache. Similarly, with a specific mailer, adversaries can identify the target machine using the implant email. In this attack scenario, the target user does not have to click the URL and that the threat of implant email attack will increase. Therefore, it is necessary to prevent image cache of Web browsers and email files of mailers to be misused as identifiers.},
 pages = {1454--1461},
 publisher = {情報処理学会},
 title = {標的ユーザによるURLアクセスを必要としないインプラントメール攻撃の概念実証},
 volume = {2019},
 year = {2019}
}