@inproceedings{oai:ipsj.ixsq.nii.ac.jp:00210905,
 author = {乾, 真季 and 海野, 由紀 and 及川, 孝徳 and 金谷, 延幸 and 津田, 侑 and 遠峰, 隆史 and 井上, 大介 and 鳥居, 悟},
 book = {マルチメディア，分散協調とモバイルシンポジウム2211論文集},
 month = {Jun},
 note = {標的型攻撃をはじめとするサイバー攻撃において攻撃者は標的の組織に侵入した後，マルウェアを送り込み，リモート管理操作を実行することにより攻撃拡大を行う．攻撃による被害を最小限に抑えるには，攻撃者が悪用したファイルを特定し，調査することにより，攻撃の全容を明らかにすることが重要である．著者らは 2019 年に通信データを解析し，攻撃者が実行したリモート管理操作とリモートファイル書き込みをひも付けることにより，攻撃の進行度に応じた攻撃関連ファイルのリアルタイムでの収集を実現するネットワークフォレンジック方式を提案した．本稿では，攻撃関連ファイル収集精度を向上させるための，リモート管理操作とリモート書き込みされたファイルのひも付けの改良手法を提案する．本改良手法は，これまで照合が困難であった Distributed Computing Environment / Remote Procedure Calls (DCE/RPC) プロトコルに対応するものであり，これにより，悪用されやすい更新系リモート管理操作にもファイル証跡の特定範囲を拡げるものである．提案した改良手法を実装したプログラムを用いて MWS Datasets 2019 の攻撃観測データや MicrosoftのAdvanced Threat Analytics Attack Simulation Playbook のシナリオを再現した模擬攻撃データを解析し，ファイル収集精度が向上したことを示した．},
 pages = {1341--1350},
 publisher = {情報処理学会},
 title = {インシデント対応時のファイル証跡収集を強化するネットワークフォレンジック方式の改良},
 volume = {2020},
 year = {2020}
}