SCIS2022 2B2-2
ランサムウェアの解析とその対策に関する研究
Research on the analysis of ransomware and its countermeasures
◎古門良介(神戸大学院工学研究科), 池上雅人(キャノンITソリューション株式会社), 住田裕輔(キャノンITソリューション株式会社), 岡庭素之(キャノンITソリューション株式会社), 白石善明(神戸大学院工学研究科), 森井昌克(神戸大学院工学研究科)
近年,サーバやパソコン上を含む端末上のデータを暗号化しその復号鍵との引き換えやデータのリークの脅迫を盾に身代金を要求するランサムウェアと呼ばれるマルウェアが流行している.ランサムウェアの感染を検知する手法はさまざまなものが提案されているが,感染してから検知までの時間差によってファイルが暗号化される問題がある.一方,検知基準を敏感にし時間差を減らした場合,通常プロセスをランサムウェアとして判定するFP が起こり,ユーザ体験を損なう問題がある.本研究ではユーザにとって使いやすいかつ従来より喪失するファイルの少ないシステムを目的として,既存のランサムウェア検知手法に対して2 つの異なるしきい値を設け積極的な介入(プロセスの強制終了)と控えめな介入(ランダムなファイル暗号鍵生成の阻止)とで動作を切り替えることを提案する.
9. ファイルの読み書きを特徴量とした振る舞い検知型手法:
CryptoLock (and Drop It):
Stopping Ransomware Attacks on User Data
8
#先行手法
[1]N. Scaife, H. Carter, P. Traynor and K. R. B. Butler, 2016 IEEE 36th International Conference on Distributed
Computing Systems (ICDCS), 2016, pp. 303-312, doi: 10.1109/ICDCS.2016.46.
CryptoLock (and Drop It): Stopping Ransomware Attacks on User Data
縦軸はランサムウェアの検知率,横軸は検知され
るまでに暗号化されたファイルの数を示している.
CrptoDropシステム[1]は492検体において33個の
ファイル暗号化以下で検出をおこなった.