WISA 2014発表/聴講

WISA(The 15th Int’l Workshop on Information Security Applications) 2014発表/聴講

• 開催日時 2014年8月25日(月) ～8月27日(水)
• 会場   Ocean Suite Hotel Jeju (韓国済州島)
• 主催   KIISC (Korea Institute of Information Security and Cryptography)
• 開催案内 http://www.wisa.or.kr/
• 報告者 松本研究員
• 本会議統計
• 投稿論文数  69
• 採択論分数 35(採択率約50%)

[概要]

韓国済州島の，Ocean Suites Hotelにて開催された，WISA (The 15th Workshop on Information Security Applications)に参加，発表および聴講を行った．今回は三日間の会期に最大2並行してセッションが設けられ，計8セッションが行われた．

[統計・各種表彰]

投稿論文数は69本．投稿論文の国別内訳は韓国からが45本，中国9本，日本4本，米国3本他計10カ国から投稿された．

採択論分数は35本で採択率は 約51%．採択論文の国別内訳は韓国からが20本，米国からが4本，日本と中国がそれぞれ3本，ドイツ，豪州，台湾がそれぞれ2本である(米国が投稿3本 に対し採択4本となっているのはおかしいが，著者の国籍を計数ミスしたものと思われる)．

[報告者発表]

  報告者は，会期二日目(26日)の最初のセッション“Vulnerability Analysis”の最初のスピーカーとして“Reconstructing and Visualizing Evidence of Artifact from Firefox SessionStorage”と題して発表した．発表は，モバイル端末などのプラットフォームがHTML5に移行しようとしている状況で，HTML5の 扱う情報をフォレンジクス対象として扱う必要性を強調後，閲覧の証拠となるファイルの場所を各ブラウザについて特定，更にFirefoxブラウザについて その内容を構造化するツールの実装と実行結果について述べた．

 発表後，座長(Sungkyunkwan大のHyoungshick Kim先生)より「GoogleのChromeブラウザで証拠となるファイルを発見できなかったのは何故か?」との質問を受け「理由は現時点では不明だ が，なんらかの暗号化がなされているものと考えられる」との旨回答した．これに対し「ファイルの内容ではなくファイルの位置を探索できればよいので，暗号 化は無関係ではないか?」と質問を受け，これには「証拠と判断するにはファイルの内容を確認する必要があるため，暗号化されると内容を確認できない」と回 答した．またツールの評価について質問され，これについては「複数の被験者を用意し，エビデンス探索の所要時間を元にすることを考えている」旨回答し，納得いただいた．

[招待講演について]

Invited Talk: Internet Security Threat Report Vol. 19
Kwangtaek Youn (Symantec, Korea)

Symantecの発行するISTR(Internet Security Threat Report)について述べたもの．2013年は”メガ”インシデントの年と呼べ，2011年は208件，2012年は165件に対し2013年は253件．10M以上の漏洩も増大している．また標的型攻撃の増加(2012=>2013で91%増)も顕著であり，攻撃対象のJob Role別では，Personal Assitant, Mediaが最も狙われやすいとしている．
また偽アンチウイルスソフトがランサムウェア化Ransomware化する事例など，ランサムウェアの増加傾向についても述べられた．
近年大きな脅威となっているモバイル関連については，ほとんどがAndroidを対象としたものであること，またマルウェアはファミリーを形成し，ファミリー内に多数の変種が存在することについても述べられた．
またこれからの脅威として，IoTにおける最大のリスクはルータ．ルータを攻撃後，DDoSやブラウザリダイレクション，暗号通貨マイニングなどを行う攻撃例を紹介し，今後はウェアラブルデバイスが対象となりうる可能性について述べられた．

[発表論文について]

AMAL: High-Fidelity, Behavior-based Automated Malware Analysis and Classification
Aziz Mohaisen (Verisign Labs, USA), Omar Alrawi (Qatar Computing  Research Institute, Qatar)

※今回ベストペーパーの一
タイトルのAMALとは，振る舞いベースのマルウェア解析システムであり，当該システムの概要について述べている．仮想環境でマルウェアによるファイルシステム，ネットワーク，レジストリへのアクセスに関する荒粒度の情報を収集するAutoMAL，振る舞いに基づきマルウェア分類を行うMaLabelからなる．MaLabelは適合率99.5%，再現率99.6%と高い精度を達成している点が印象的であった．

Function Masking: A New Countermeasure against Side Channel Attack
Taesung Kim (ETRI, Korea), et.al.

電力解析サイドチャネル攻撃対策についての研究．SCA対策としてマスキングがあり，Goubleのアルゴリズムがあるが1次データマスキングにしか適用不可なのに対し，新たにFunction Maskingを提案．これは，既存MaskingがData Maskingとでも呼ぶべきものに対して，暗号処理アルゴリズムの中間機能をランダム化している．HIGHTにFunction Maskingを適用し，評価を行っている．

Multivariate Statistic Approach to Field Specification of Binary Protocols in SCADA System
Seungoh Choi(The Attached Institute of ETRI, Korea)et.al.

重要インフラにおけるICS通信プロトコルの解析手法についての研究．既存の研究の多くがテキスト形式のものなのに対し，バイナリ形式のものを解析可能としている．SCADAシステムの通信における値のByte Positionと値を取得し，Needleman-Wunschアルゴリズムにてパケットサイズを求め，byyte positionについてエントロピーと分散を求め，多変量統計からフィールドを推測している．DF1とModbusのプロトコルをそれぞれ調査対象としている．

会場であるOcean Suite Jeju Hotel

会場入り口脇に設けられたバナー

テクニカルセッションの様子