@inproceedings{oai:ipsj.ixsq.nii.ac.jp:00240896,
 author = {手塚, 尚哉 and 宮本, 大輔 and 明石, 邦夫 and 落合, 秀也 and Naoya, Tezuka and Daisuke, Miyamoto and Kunio, Akashi and Hideya, Ochiai},
 book = {コンピュータセキュリティシンポジウム2024論文集},
 month = {Oct},
 note = {本研究ではランサムウェア被害からファイルのデータを保護するための一般的なシステムを提案する．このシステムはランサムウェアよるファイルの暗号化や上書きなどの振る舞いを監視し，対象ファイルのコンテンツデータをランサムウェアから隔離された領域に退避させる．OpenSSL を利用して暗号化を行うランサムウェアを対象として実装した Proof of Concept (PoC) では，eBPF を用いて暗号化関数をフックし，関数に渡される平文データをキャプチャすることでデータを保護する．評価の結果，PoC 実装は 1MB 以下のファイルは完全に保護できるが，それより大きいファイルについてはデータの一部が欠落する問題が確認された．追加実験により ring bufffer のサイズより小さいファイルは保護できるという結果が得られ，ring buffer からのデータ読み出しとファイルへの書き込みがボトルネックである可能性が示された．, In this study, we propose a general system for protecting file data from ransomware attacks. This system monitors ransomware behaviors such as file encryption and overwriting, and moves the content data of targeted files to an isolated area, safeguarding it from the ransomware. In the Proof of Concept (PoC) implementation, targeting ransomware that uses OpenSSL for encryption, we use eBPF to hook the encryption functions and capture the plaintext data passed to these functions to protect the data. The evaluation results show that the PoC implementation can fully protect files smaller than 1MB, but for larger files, there is an issue where some data may be lost. Additional experiments revealed that files smaller than the ring buffer size can be protected, suggesting that reading data from the ring buffer and writing to a file may be bottlenecks.},
 pages = {1117--1124},
 publisher = {情報処理学会},
 title = {ファイルの侵害をフックすることによるランサムウェアからのデータ保護システム},
 year = {2024}
}