@inproceedings{oai:ipsj.ixsq.nii.ac.jp:00214449,
 author = {藤井, 翔太 and 佐藤, 隆行 and 青木, 翔 and 津田, 侑 and 川口, 信隆 and 重本, 倫宏 and 寺田, 真敏 and Shota, Fujii and Takayuki, Sato and Sho, Aoki and Yu, Tsuda and Nobutaka, Kawaguchi and Tomohiro, Shigemoto and Masato, Terada},
 book = {コンピュータセキュリティシンポジウム2021論文集},
 month = {Oct},
 note = {サイバー攻撃において，悪性ホストは C2 サーバをはじめとして，攻撃者にとって重要なインフラと化している．こうした状況においては，悪性ホストを観測し，その実態を明らかにすることで対策に活用することが望ましい．一方で攻撃者もアクセス元の地域に応じたクローキングや短期間の有効化等によって観測の回避を図るため，従前の単拠点・短期間の観測では実態を明らかにするのが困難である．そこで本稿では，悪性ホストを複数拠点から継続的に観測することにより，攻撃者による観測回避を困難にしつつ，悪性ホストの時系列での分析や地域性の分析を可能にするシステムを提案する．本稿では，システムを実装し，13 の拠点から 10,334 件の観測対象に対して，2019 年 11 月から 2021 年 8 月の間にかけて観測を実施することにより，25,148,094 件の観測結果を得た．評価では，複数拠点から継続的に観測を実施することにより，悪性ホストの観測可能性を向上できることを示した．また，観測結果を分析することにより，悪性ホストの時系列変化やクローキング状況の実態を明らかにした．, In recent cyberattacks, malicious hosts, such as C2 servers, have become a critical infrastructure. Therefore, it is desirable to observe malicious hosts and clarify their whole picture for countermeasures. However, the attackers try to avoid the observation by cloaking according based on geolocation or by activating the host for a short period of time; thus, it is difficult to clarify the whole picture by the conventional single-site and short-term observation. In this paper, we propose a system that enables time-series analysis and regional analysis of malicious hosts by continuously observing malicious hosts from multiple regions, making it difficult for attackers to avoid observation. We conducted a study using thirteen sensors by observing 10,334 malicious hosts from Nov. 2019 to Aug. 2021 and obtained 25,148,094 measurements. The evaluation showed the malicious hosts' observability can be improved. We also report the time series of malicious hosts and the reality of the cloaking situation.},
 pages = {357--364},
 publisher = {情報処理学会},
 title = {悪性ホストの多拠点からの継続的な観測に基づく時系列および地域性の分析},
 year = {2021}
}