@techreport{oai:ipsj.ixsq.nii.ac.jp:00217904, author = {佐々木, 貴之 and 九鬼, 琉 and 植田, 岳洋 and 鮫嶋, 海地 and Guo, Binnan and 市川, 詩恩 and 山口, 陽平 and 岡田, 晃市郎 and 吉岡, 克成 and 松本, 勉 and Takayuki, Sasaki and Ryu, Kuki and Takahiro, Ueda and Kaichi, Sameshima and Binnan, Guo and Shion, Ichikawa and Youhei, Yamaguchi and Kouichirou, Okada and Katsunari, Yoshioka and Tsutomu, Matsumoto}, issue = {22}, month = {May}, note = {IoT 機器を対象としたサイバー攻撃の動向を明らかにするために,IoT 機器を模倣したハニーポットを運用しており,2021 年は 1 年間で約 4 千万件のスキャンや攻撃を観測し,のべ 8 千を超えるマルウェア検体を収集した.サイバー攻撃の実態把握のために,これらの観測データを解析し,攻撃の対象となっている機器や脆弱性を明らかにしたい.加えて,攻撃元の振る舞いや,脆弱性の悪用のされ方を分析することができれば,攻撃の背景が明らかになる.さらに,観測データから未知の攻撃を発見できれば,迅速な対策の実施に繋がる.これらを実現するためには,ハニーポットで観測した大量のデータや収集した多様な検体を効率的に解析する必要がある.そこで,ハニーポット,動的解析,ルールベースの攻撃タグ付けを組み合わせ,攻撃観測と分析を統合したアーキテクチャを提案する.本アーキテクチャの特徴は,(1) ハニーポットで収集した検体を自動的に動的解析し,疑似インターネットとの通信を観測することにより,マルウェアが行う攻撃を抽出する点と,(2) ハニーポットで観測した攻撃や,検体の動的解析で観測した攻撃について,ルールに基づいて自動的に CVE 番号や攻撃対象機器をタグ付けする点にある.プロトタイプを実装し評価実験を行った結果,50 件を超える脆弱性を狙う攻撃がハニーポットで観測されていることが明らかになった.加えて,動的解析中にマルウェアが行った攻撃の対象の CVE とハニーポットで観測された攻撃対象の CVE の関係を分析したところ,動的解析で観測した攻撃の 85% はハニーポットでも観測されていた., We have operated honeypots to observe cyberattacks against IoT devices and observed 40M accesses and over 8K malware samples in 2021. The goals of the observation are the identification of target devices and vulnerabilities. In addition, understanding attackers' behaviors and misuse of the vulnerabilities is another goal to deploy adequate measures. Furthermore, if we can find zero-day vulnerabilities from the attacks, quick responses against the attacks can be realized. Towards these goals, we propose an architecture comprising honeypots, dynamic analysis, and rule-based attack tagging. Features of the architecture are (1) extracting attacks from malware using dynamic analysis and (2) tagging attacks observed by the honeypots and dynamic analysis based on pre-defined rules. We implemented a prototype of the architecture and identified that our honeypot observed over 50 types of attacks. Moreover, we investigated the attacks observed by honeypots and dynamic analysis and identified that CVEs observed by honeypots include 85% of CVEs observed by the dynamic analysis.}, title = {ハニーポットによる攻撃観測と多角的分析のための統合アーキテクチャの提案}, year = {2022} }