DSpace Repository

車載LANへ侵入するマルウェアの証拠保全を行うカーネル上のフォレンジック機構

Show simple item record

dc.contributor.author 大平, 修慈
dc.contributor.author 井上, 博之
dc.contributor.author 新井, イスマイル
dc.contributor.author 藤川, 和利
dc.date.accessioned 2019-03-22T00:43:02Z
dc.date.available 2019-03-22T00:43:02Z
dc.date.issued 2019-03-15
dc.identifier.issn 1882-7764
dc.identifier.uri http://hdl.handle.net/10061/13124
dc.description.abstract インターネットとつながる自動車において,カーナビ等の車載インフォテインメントシステム(IVI)へのマルウェアの侵入等による車載LANへのサイバー攻撃が問題となっている.また,マルウェアのような不正なプログラムによる事故が発生した場合,ドライバの過失によるものなのか,マルウェアの車載LANへの侵入・攻撃によるものなのかを区別する仕組みはない.不具合や事故が起こった後のデジタル・フォレンジックのためには,その原因となった事象の証拠保全を行う機構が必要となる.先行研究として,車載LAN上のストレージデバイスを用いて車載LANデータを保全するフォレンジック機構が提案されているが,車載LANデータのみ保全するため,いつ感染したのか,どのようなマルウェアなのか等を調べることができない.さらに,マルウェアから証拠保全を妨害されないといった保証もない.本研究では,IVIへ侵入するマルウェアおよび車載LANデータの証拠保全を行うフォレンジック機構を提案する.マルウェアからの耐性を高める目的として,OSカーネル上にフォレンジック機構を組み込み,マルウェアの証拠データを保全する.フォレンジック機構の評価として,車載LANへ侵入するマルウェアとしてMiraiに車載LANへDoS攻撃を行う機能を追加したマルウェアを感染させる実験を行い,その際の証拠データを分析した.実験結果から,保全された証拠データからマルウェアの攻撃時の特徴的なシステムコールや車載LANの異常なメッセージの増加,感染時にTelnet通信が頻繁に行われるといった挙動が観測でき,フォレンジック機構の有効性を確認した.また,フォレンジック機構が,アンチデバッグ等の耐解析手法に対し高い耐性があることと,車載システムにおいて十分なパフォーマンスで動作可能であることを示す. Cyber-attacks, such as the intrusion of malware on in-vehicle infotainment systems (IVI), are becoming a problem. At present, there is no mechanism to distinguish between an accident caused by a driver's negligence or an accident caused by malware infiltration into an in-vehicle LAN. A mechanism to preserve the evidence data of the accident is needed for the digital forensics following the accident. A previous study has proposed a forensic mechanism for preserving in-vehicle LAN data using storage devices, however the study failed to find out when the system was infected and what kind of malware was used. In addition, there is no guarantee that the storage device will be kept from damage, or that evidence integrity will not be disturbed by malware. In this research, we propose a forensic mechanism on the kernel land that preserves the evidence of the malware invading the in-vehicle LAN. For the purpose of enhancing the resistance to malware, a forensic mechanism was incorporated on the OS kernel and the evidence data of the malware was reserved. As an evaluation of the forensic mechanism, we conducted experiments in which an IVI, incorporating the forensic mechanism, was infected with a malware called Mirai that adds a command to DoS-attack the in-vehicle LAN, and the behavior of the evidence data at that time was observed. From the results, it was found that observation of the characteristic system call at the time of the malware attack and the abnormal message of the in-vehicle LAN from the preserved evidence data is possible. It was also observed that Telnet communication was frequent at the time of infection, therefore, the effectiveness of the forensic mechanism was confirmed. We also showed that the forensic mechanism is highly resistant to debugging and that it can operate with sufficient performance in an in-vehicle system. ja_JP
dc.language.iso ja ja_JP
dc.publisher 情報処理学会 ja_JP
dc.rights ©Information Processing Society of Japan ja_JP
dc.rights ここに掲載した著作物の利用に関する注意 本著作物の著作権は情報処理学会に帰属します。本著作物は著作権者である情報処理学会の許可のもとに掲載するものです。ご利用に当たっては「著作権法」ならびに「情報処理学会倫理綱領」に従うことをお願いいたします。 Notice for the use of this material The copyright of this material is retained by the Information Processing Society of Japan (IPSJ). This material is published on this web site with the agreement of the author (s) and the IPSJ. Please be complied with Copyright Law of Japan and the Code of Ethics of the IPSJ if any users wish to reproduce, make derivative work, distribute or make available to the public any part or whole thereof. All Rights Reserved, Copyright (C) Information Processing Society of Japan. Comments are welcome. Mail to address editj@ipsj.or.jp, please. ja_JP
dc.subject システムセキュリティ ja_JP
dc.subject コンピュータウィルス ja_JP
dc.subject フォレンジクス ja_JP
dc.subject IVI ja_JP
dc.subject CAN ja_JP
dc.title 車載LANへ侵入するマルウェアの証拠保全を行うカーネル上のフォレンジック機構 ja_JP
dc.title.alternative Forensics Mechanism in Kernel Land to Preserve Evidence of Malware Intruding into In-vehicle LAN ja_JP
dc.type.nii Journal Article ja_JP
dc.title.transcription シャサイ LAN ヘ シンニュウ スル マルウェア ノ ショウコ ホゼン ヲ オコナウ カーネル ジョウ ノ フォレンジック キコウ ja_JP
dc.contributor.transcription アライ, イスマイル
dc.contributor.transcription フジカワ, カズトシ
dc.contributor.alternative Arai, Ismail
dc.contributor.alternative Fujikawa, Kazutoshi
dc.identifier.fulltexturl http://id.nii.ac.jp/1001/00195308/ ja_JP
dc.textversion publisher ja_JP
dc.identifier.jtitle 情報処理学会論文誌 ja_JP
dc.identifier.volume 60 ja_JP
dc.identifier.issue 3 ja_JP
dc.identifier.spage 791 ja_JP
dc.identifier.epage 802 ja_JP
dc.identifier.NAIST-ID 74652785 ja_JP
dc.identifier.NAIST-ID 73293045 ja_JP


Files in this item

This item appears in the following Collection(s)

Show simple item record

Search DSpace


Advanced Search

Browse

My Account