株式会社KDDI総合研究所、株式会社セキュアブレイン、国立大学法人横浜国立大学、国立大学法人神戸大学、株式会社構造計画研究所、国立大学法人金沢大学、国立大学法人岡山大学、国立研究開発法人情報通信研究機構 (NICT) は、NICTの委託研究「Web媒介型攻撃対策技術の実用化に向けた研究開発」(略称、WarpDrive (注1)) において、スマートフォンを狙ったWeb媒介型攻撃の実態把握と対策技術向上のために、アニメ作品「攻殻機動隊S.A.C.」シリーズのキャラクター「タチコマ」をモチーフにしたAndroidのスマートフォン向けアプリ「タチコマ・セキュリティ・エージェント・モバイル (以下、タチコマ・モバイル)」を開発しました。2020年3月16日からタチコマ・モバイルを配布し、ユーザ参加型の実証実験を開始します。
背景
サイバー攻撃は多様化・巧妙化を続け、Webサイトを媒介としてマルウェアに感染するWeb媒介型攻撃による被害が後を絶ちません。WarpDriveでは、これまでWeb媒介型攻撃の観測と対策のために、PCのユーザ向けの実証実験を行ってきました (注2)。一方でスマートフォンの普及に伴い、スマートフォンを狙った攻撃も増加しており深刻な問題となっています。スマートフォンへの攻撃は、Webブラウザだけでなくショートメッセージなど、さまざまなアプリを媒介しユーザごとに異なる経路から感染拡大するために、これまでの攻撃観測網で攻撃の実態把握や迅速な対策展開が困難でした。
実証実験概要
WarpDriveにおいて開発したAndroidのスマートフォン向けアプリ「タチコマ・モバイル」をつかったユーザ参加型の実証実験を2020年3月16日から開始します。また、同日からWarpDriveポータルサイト (図1) でアプリを一般ユーザ向けに無償配布します。
「タチコマ・モバイル」には、ユーザが遭遇した怪しいサイトを報告する「タチコマへ報告」機能やスマートフォンの利用状況を可視化する「プロファイル」機能が搭載されており (図2)、実証実験ではユーザから提供されるWeb媒介型攻撃に関するデータを収集・分析し、セキュリティ機能の強化や未知の攻撃の観測を行います。収集データには、ユーザが遭遇した悪性サイトを自ら報告するものや攻撃観測のためのデータが含まれます。さらに、定期的に出される簡単な質問「タチコマの問い」に回答してもらうことによって、セキュリティをはじめとするあらゆる分野のICTについてユーザと一緒に考えていきます。
今後
WarpDirveでは、PC版とMobile版の実証実験の結果を基に、複雑化してきているWeb媒介型攻撃の実態を解明して、攻撃サイトの迅速なテイクダウン (撤去) に向けた情報提供や攻撃対策技術の実用化を目指していきます。
参考
実証実験体制
| 組織名 | 主な担務 |
|---|---|
| 株式会社KDDI総合研究所 (代表取締役所長︓中島康之) | 全体統括、分析基盤の開発、タチコマ・モバイル開発 |
| 株式会社セキュアブレイン (代表取締役社長兼CEO︓青山健一) | タチコマ・モバイルのエンジン開発、リパッケージによる不正アプリ検知 |
| 国立大学法人横浜国立大学 (学長:長谷部勇一) | 危険検索ワードによる攻撃被害の事前予測、IoT機器に関するセキュリティ通知 |
| 国立大学法人神戸大学 (学長:武田 廣) | 機械学習による収集データの分析 |
| 株式会社構造計画研究所 (代表取締役社長︓服部正太) | 分析基盤における攻撃事例分析 |
| 国立大学法人金沢大学 (学長:山崎光悦) | プライバシー設計・プライバシーリスク評価 |
| 国立大学法人岡山大学 (学長:槇野博史) | リダイレクトによる攻撃検知 |
| 国立研究開発法人情報通信研究機構 (理事長︓徳田英幸) | 実証実験の監修、可視化およびデザイン |
プライバシーへの配慮
実証実験にさきがけて、ユーザのプライバシー保護の観点から、NICT内の「パーソナルデータ取扱研究開発業務審議委員会」で審議し、収集データの内容、管理方法、利用について確認しています。また、実証実験の参加規約、収集するデータの取り扱いに関して定めた文書を整備し、安心して実証実験にご参加いただけるよう情報を開示しています。詳しくは以下のリンクをご覧ください。
WarpDriveスマートフォン向け実証実験のプライバシーポリシー
攻撃観測のための収集データ一覧
セキュリティの研究開発を目的として、スマートフォンから以下のデータを収集します。このデータは、セキュリティの研究開発の目的にのみ利用して、その他の目的に利用しません。また、参加者は、いつでも実証実験をやめることができ、提供したデータの削除を求めることができます。データ取扱いについては、実証実験のプライバシーポリシーをご覧ください。
| データ種別 | 説明 |
|---|---|
| Webアクセス履歴 | Google ChromeアプリおよびChromeのコンポーネントを使用したアプリにおいてWebページを表示した際のURLおよびアンカータグのテキストなど |
| アプリ表示履歴 | ユーザがフォアグランドとして実行したアプリおよびアプリにおけるActivityの履歴 |
| インストールアプリ一覧 | 端末にインストールされているアプリのパッケージ名およびアプリ構成や証明書などの関連情報 |
| SMSメッセージのハッシュ値 | メッセージにURLもしくはブラックリストの文字列が含まれている場合のメッセージのファジーハッシュ、送信者、URL |
| 通信ネットワーク | 端末がインターネットにアクセスする際に付与されるパブリックIPアドレスとその接続種別など |
| 端末情報 | 端末名、OSのバージョン、パッチレベルなどの端末情報 |
| 提供元不明アプリのインストール許可操作 | 公式アプリ配布サイト以外からアプリをインストールすることをユーザが許可する操作 |
強化される新しいセキュリティ機能について
リダイレクトによる攻撃検知
Webサイトを表示するときに、ユーザを異なるWebサイトへ自動的に転送するリダイレクトという技術が使われることがあります。Webを媒介とする攻撃における悪性サイトは、頻繁にこのリダイレクトが悪用しており、リダイレクトに特徴があることが知られています。岡山大学では、このリダイレクトのタイミングから悪性サイトへの誘導を検知する方式を研究開発しました (注3)。
危険検索ワードによる攻撃被害の事前予測
特定のキーワードにより検索した結果は、悪性サイトが多く含まれることが報告されています。横浜国立大学の調べでは、ユーザが検索エンジンにおいて特定のワードを検索した後に、悪性サイトへ遷移する確率は、当該ワードを使わない場合に比べて最大で11倍となることが確認されています。そこで、危険な検索ワードを検索した際に、悪性サイトへ遭遇する確率が高いことを事前に通知する方式を研究開発しました (注4)。
リパッケージ (改造版) アプリ検知
Androidでは、配布されているアプリに第三者が無断で機能を追加・変更するリパッケージという手法が知られています。人気のあるアプリに対して改造が行われ、悪質な動作が付与されたマルウェアの存在も報告されています。セキュアブレインでは、改造版アプリがインターネット上で多数配布され、ソーシャル・ネットワーキング・サービスの一つであるTwitterで情報共有されている実態を明らかにしました。タチコマ・モバイルでは、改造版アプリのインストールに対して通知する実験を行います (注5)。
IoT機器に関するセキュリティ通知
現在、無線Wi-Fiルーターなど家庭内のIoT機器がマルウェアに感染する事例が多く報告されています。IoT機器がマルウェアに感染すると不特定多数のホストへ探索活動を行ったり、大量の通信を発生させてサービスができないようにしたりするDDoS攻撃に加担する場合があります。横浜国立大学では、このようにマルウェアに感染してしまう恐れのあるIoT機器を効率的に発見する技術を開発しました。タチコマ・モバイルでは、ユーザの端末のIPアドレスでこのような脆弱なIoT機器を発見した場合に、ユーザに通知する実験を行います (注6)。
注釈
- 注1: Web-based Attack Response with Practical and Deployable Research InitiatiVE
- 注2: Web媒介型サイバー攻撃対策プロジェクト「WarpDrive」の実証実験開始について (2018年6月1日)
- 注3: 折戸凜太郎, 佐藤将也, 山内利宏, "AndroidにおけるURLバーの切り替わり間隔に着目した利用者の意図しないWebサイトへの遷移の検知手法," コンピュータセキュリティシンポジウム2019論文集
- 注4: 源平祐太, 中川雄太, 高田一樹, 小出駿, 金井文宏, 秋山満昭, 田辺瑠偉, 吉岡克成, 松本勉, "悪性Webサイトに到達しやすい危険検索単語の検知," コンピュータセキュリティシンポジウム2019論文集
- 注5: 三村隆夫, 巻島和雄, 岩本一樹, "ソーシャルネットワークで共有されるAndroidアプリケーションの実態調査," コンピュータセキュリティシンポジウム2018論文集
- 注6: 西田慎, 保泉拓哉, 内田佳介, 藤田彬, 吉岡克成, 松本勉, "IoT機器のユーザへの専用クライアントを介したセキュリティ通知実験の検討," 信学技報, vol. 118, no. 486
