@article{oai:ipsj.ixsq.nii.ac.jp:00066468, author = {青木, 一史 and 川古谷裕平 and 秋山, 満昭 and 岩村, 誠 and 針生, 剛男 and 伊藤光恭 and Kazufumi, Aoki and Yuhei, Kawakoya and Mitsuaki, Akiyama and Makoto, Iwamura and Takeo, Hariu and Mitsutaka, Itoh}, issue = {9}, journal = {情報処理学会論文誌}, month = {Sep}, note = {近年,ボットをはじめとするマルウェアが猛威を振るっており,その感染手法はOSレベルでの堅牢性向上を背景に,従来行われてきた能動的攻撃に加え,利用者が行う何らかの操作を契機とする受動的攻撃も広がりをみせている.マルウェア対策を検討するための攻撃実態調査はこれまでも行われてきたが,効果的な対策を策定するにはさらなる調査が必要である.本稿では,標的となりやすい脆弱性,利用されるShellcodeのトレンド把握,攻撃Webサイトが有する性質把握,感染端末に見られる挙動把握を目的とし,能動的攻撃と受動的攻撃に関する情報収集が可能な2つの異なるハニーポットと,閉/開環境型動的解析システムにより調査を行った.調査の結果,能動的攻撃に関しては,攻撃対象脆弱性がMS03-026に偏っていることや,Anti-Virusを停止させたうえでマルウェアをダウンロードさせるShellcodeの存在が明らかとなった.また,受動的攻撃に関して,iframeタグを用いた攻撃の場合,Webサイト群は集約構造となる傾向が強いことを明らかにした.さらに,収集したマルウェアの動的解析からは,IRCボットが接続するC&Cサーバの待ち受けポートが,TCPポート8080番のような,一般的なサービスで利用されているものに変化していることや,C&Cサーバとの通信でHTTPを利用するボットが多数存在することが明らかとなった.本稿では,調査で明らかとなった事実をもとに,ハニーポットや解析技術の今後の課題を示すとともに,能動的攻撃/受動的攻撃からユーザを保護するための対策指針を提唱する., In these days, Bot programs and other malwares are serious threats in the Internet and their infection techniques are not only Active Attacks but also Passive Attacks against OS security technology improvements. Though there are some investigations to adopt countermeasures against attacks, a further investigation is necessary to settle on effective measures. In this paper, we investigate the actual condition of Active Attacks and Passive Attacks by two types of HoneyPots and open/close types of dynamic analysis system. Our investigation shows that there are some biases on target vulnerabilities and new types of Shellcode which stop Anti-Virus software were detected on Active Attack survey. From Passive Attack survey, Attacking Web sites which contain iframe tags have intensive structures. And many IRC based C&C servers are listening on general service port numbers, e.g., TCP Port 8080. In addition, we observed many Bot programs using HTTP protocol for communication with C&C servers. we suggest further issues for HoneyPots and analysis systems and some countermeasures against Active/Passive attacks based on investigation results.}, pages = {2147--2162}, title = {能動的攻撃と受動的攻撃に関する調査および考察}, volume = {50}, year = {2009} }