@techreport{oai:ipsj.ixsq.nii.ac.jp:00217903,
 author = {九鬼, 琉 and 植田, 岳洋 and 佐々木, 貴之 and 吉岡, 克成 and 松本, 勉 and Ryu, Kuki and Takahiro, Ueda and Takayuki, Sasaki and Katsunari, Yoshioka and Tsutomu, Matsumoto},
 issue = {21},
 month = {May},
 note = {近年,IoT の発展に伴い,IoT 機器への攻撃が活発化している.これらの攻撃実態を把握するため,我々は IoT 機器を模倣したハニーポットを設置し,1 ヶ月あたり平均 55,000 件の攻撃を観測している.ハニーポットで観測される攻撃がどのような脆弱性・機器を狙ったものであるのかを把握することは,攻撃の傾向を把握し適切な対応を行っていくために必要不可欠である.そのため,我々はハニーポットで観測した攻撃に対して攻撃対象の脆弱性や機器の情報を紐付けるためのタグ付けを行っているが,タグ付けを行うためのルール作成はこれまで人手で行ってきた.しかし,1 ヶ月あたり平均 55,000 件という膨大かつ多様な攻撃に対し,それらのタグ付けルールの作成を全て人手で行うことは現実的ではない.本論文では,観測した攻撃に対して低コストかつ網羅的な分析を行うために,観測した攻撃の特徴 (シグネチャ) と攻撃対象の脆弱性や機器の情報を紐付けるためのタグ付けルールを自動的に生成する手法を提案する.提案手法は,ハニーポットのイベントログから攻撃の特徴となるシグネチャを生成し,NVD や Exploit Database などの公開脆弱性データベース (VDB) よりシグネチャに関連する情報を自動で収集することにより,シグネチャと攻撃対象の脆弱性や付加情報を紐付けるためのタグ付けルールの生成を行う.提案手法を用いて,人手でタグ付けルールを作成済みの攻撃ログに対し攻撃情報の自動推定及びタグ付けルールの生成を行った結果,83.2% の攻撃に対して正しいルール生成に成功し,誤ったルールの生成は 3.2% であった., With the development of IoT, cyber-attacks against IoT devices have increased. To monitor these attacks, we have operated honeypots that imitate IoT devices and have observed 55,000 attacks per month on average. To understand attack trends and take appropriate measures, it is essential to understand cyber-attacks target which vulnerabilities and devices. We manually created tagging rules and tagged a part of cyber-attacks observed by honeypots with vulnerabilities and target devices. However, it is unrealistic to create tagging rules for many types of attacks observed by the honeypots. In this paper, we propose an automatic tagging rule generation method to link observed attack characteristics (signature) with vulnerabilities and devices, to analyze observed attacks in a low-cost and comprehensive way. This method generates signatures each of which characterizes an attack observed by a honeypot. Then, the method collects information related to the signature from public vulnerability databases (VDB), such as NVD and Exploit Database, and generates tagging rules to associate the signatures with attack information such as CVE numbers and target devices. We implemented the method, and an evaluation result showed that correct tagging rules were successfully generated for 83.2% of the attacks, and incorrect tagging rules were generated only for 3.2% of the attacks.},
 title = {ハニーポットで観測されたサイバー攻撃の対象機器及び脆弱性の自動推定手法の提案},
 year = {2022}
}