@inproceedings{oai:ipsj.ixsq.nii.ac.jp:00240768,
 author = {九鬼, 琉 and 佐々木, 貴之 and インミン, パパ and 吉岡, 克成 and Ryu, Kuki and Takayuki, Sasaki and Yin, Minn Pa Pa and Katsunari, Yoshioka},
 book = {コンピュータセキュリティシンポジウム2024論文集},
 month = {Oct},
 note = {近年，年間に報告される脆弱性の件数は増加の一途を辿っており，全てに直ちに対応することは現実的に困難である．そのため脆弱性対応の必要性や優先度を見極めるトリアージが重要であり，その判断基準の一つとして脆弱性の悪用状況を速やかに把握することが重要である．本研究では，ハニーポット等で観測された膨大な通信リクエストから特に深刻度の高い脆弱性を狙う攻撃を抽出し，そのうち既知のルールにマッチしない新規の攻撃について攻撃リクエストの特徴（シグネチャ）をもとにエクスプロイトごとに分類しオペレータに通知することにより，新規悪用状況の迅速な把握を支援する手法を提案する．本手法により，8ヶ月間の観測期間において3件のゼロデイ攻撃を含む46件の脆弱性を狙う新規の攻撃を検知した．また，一部の脆弱性については製品開発者への報告を行い，早期の修正および悪用状況の周知に貢献した．本手法を用いることで，脆弱性の新規悪用状況を迅速に把握し，脆弱性対応のトリアージ等に有効活用することができる．さらに，ゼロデイやその疑いがある未知の脆弱性を狙うエクスプロイトに対して分類結果を用いて独自の仮識別子を付与することにより，継続的な攻撃監視を始めとした詳細調査に役立てることができる．, In recent years, the number of vulnerabilities reported per year has continued to increase, and it is difficult to respond to all of them immediately. Therefore, triage to determine the necessity and priority of vulnerability response is important, so it is essential to quickly detect the exploitation status of vulnerabilities, which is used as one of the criteria for triage. In this study, we propose a method to support the rapid identification of new abuse conditions by extracting attacks targeting vulnerabilities of particularly high severity from the large number of traffic observed by honeypots, etc., and classifying each exploit based on the characteristics (signatures) of the attack requests for new attacks that do not match known rules and notifying the operator. Using this method, we detected 46 new attacks targeting vulnerabilities, including 3 zero-day attacks, in 8 months of observation. And we reported on the exploitation of some vulnerabilities to the developers, and contributed towards the early remediation. This method is useful for quickly detecting new exploits of vulnerabilities and triaging vulnerability. Furthermore, by using the classification results to assign original, temporary identifiers to exploits targeting zero-day or suspected vulnerabilities, it is possible to use them for detailed investigations such as continuous attack monitoring.},
 pages = {161--168},
 publisher = {情報処理学会},
 title = {ハニーポットで観測される新規エクスプロイトの分類手法の提案},
 year = {2024}
}