2006年より、NECの中央研究所に所属し、情報漏えい対策、内部犯対策、SDNのセキュリティなどの研究を行ってきました。現在は、横浜国立大学でハニーポットを用いた攻撃観測や、注意喚起などのサイバーセキュリティの研究をしています。
From 2006 to 2020, I worked for NEC central research laboratories and was engaged in countermeasures against information leakage, insider threat mitigation, SDN security. Now I work at Yokohama National University and research cybersecurity using honeypots.
"Am I infected?" is a Web service to check malware infection and vulnerabilities of IoT devices.
"Am I infected?"は、IoT機器のマルウェア感染と脆弱性の検査を行うWebサービスです。どなたでも無料でお使い頂けます。
ハニーポットは脆弱なシステムを模倣するシステムです。ハニーポットを用いて様々なサイバー攻撃を観測しています。
A honeypot is a system that mimics a system. We have observed a variety of cyberattacks using the honeypot.
インターネット上の脆弱なIoT機器の探索と、見つけた機器の所有者に対して注意喚起を行っています。
We are discovering the vulnerable IoT devices on the Internet and performing notifications to the device owners.
近年、様々な機器は単一の企業で製造されるのではなく、外部からハードウェアやソフトウェアの部品を購入し、製造されている。また、機器の集合のシステムも、外部から機器を調達して、構築されている。このような場合に、それらの外部調達した部品・機器に、不正な機能が入っていれば、機器やシステムの安全性を保障できない。ソフトウェアに注目し、バックドアが外部調達したソフトや、外部調達した機器のファームウェアに混入していないかを検査する手法を開発している。
In recent years, a device is made not only by a single company but using components from external suppliers. Moreover, a system is constructed using devices from external suppliers. In such cases, we can find risks that such components/devices would have malicious functions such as a backdoor. To ensure security even in such cases, our team is developing backdoor detection techniques for software components and the firmware of devices.
サービスが正しく動作するためには、信頼できる機器から構成されたプラットフォームが必要である。そのために、ハードウェアを起点としたソフトウェアの真贋判定によって、IoT機器やシステム全体の堅牢化を研究している。特に、IoT機器は、CPUやメモリのリソースが限られているため、そのような機器でも動作し、IoT機器の動作に影響を与えないセキュリティ機構を開発している。
To realize a secure system, the system must be constructed only using trusted components. For this purpose, we are studying architecture using a tamper detection engine that leverages a hardware root of trust. In particular, since IoT devices have limited CPU and memory resources, we are developing security mechanisms that can work with such devices and not affect the operation of IoT devices.
Software Defined Networking(SDN)は、企業システムの重要な構成要素となっており、堅牢であることが求められる。SDNのセキュリティを強化ために、2つのプロジェクトを行った。
1つ目のプロジェクトでは、SDNのコントロールプレーンのセキュリティ強化目的としている。 SDNには、①汚染されたコンポーネントがネットワーク全体に影響を与える、②復旧の機構が無いという課題がある。これら課題に対し、①汚染されたコンポーネントの影響を一定の範囲に閉じ込める隔離機構と、②汚染されたコンポーネントを定期的・自動的にクリーンな状態へロールバックする復旧機構を備えたSDNアーキテクチャを提案した。さらに、詳細設計とプロトタイプに基づいた評価の結果、実用的なオーバヘッドであることを示した。
2つ目のプロジェクトでは、データプレーンのセキュリティ強化を目的としている。今日のSDNのデータプレーンの課題は、③能動的にポリシを強制する仕組みが無いこと、④受動的にネットワークの振る舞いを検証するような仕組みが無いことである。加えて、⑤各スイッチに分散して保存されている設定を変更する際には、設定間の不整合が起こる可能性がある。また、SDNスイッチの転送情報の記録テーブル(Flow table)を枯渇させるstate exhaustion attackは、SDNを攻撃する有効な手法の1つであり、解決策が示されていない。これらの課題に対し、以下の対策を備えたSDNを提案した。③パケットが運ぶ転送情報の改竄検出をパケットが中継される各スイッチで行うことにより、パケットが指定された経路を確実に通るように強制する。④パケットの経路上の各スイッチがパケットにマーキングし、最後のスイッチは経路上のすべてのスイッチのマークをコントローラに送付することにより、コントローラがパケットの経路を検証する。 加えて、⑤各スイッチから転送情報を排除し、代わりにパケットが転送情報を運ぶことにより、各スイッチの転送情報の不一致や、転送情報の記録テーブルの枯渇を防止する。
Software Defined Networking (SDN) has become a key component of enterprise systems and needs to be robust. I have conducted two projects to enhance the security of SDN.
The first project is aimed at enhancing the security of the SDN control plane. SDN has the following issues: (1) contaminated components affect the entire network, and (2) there is no recovery mechanism. To address these issues, we proposed an SDN architecture with (1) an isolation mechanism that confines the impact of contaminated components to a certain range and (2) a recovery mechanism that periodically and automatically rolls back contaminated components to a clean state. Furthermore, the detailed design and prototype-based evaluation showed that the overhead is practical.
The second project is aimed at enhancing the security of the data plane. The problem with today's SDN data plane is that (a) there is no mechanism to actively enforce policies, and (b) there is no mechanism to passively verify the behavior of the network. Also, (c) the state exhaustion attack, which depletes the transfer information recording table (flow table) of an SDN switch, is one of the effective methods of attacking SDNs and no solution has been shown.
To address these issues, we proposed an SDN with the following measures. (a) Each switch detecting tampering of the forwarding information carried by the packet. This mechanism forces the packet to go through the specified route securely. (b) Each switch on the route of the packet marks the packet, and the last switch sends the markings of all switches on the route to the controller, who then verifies the route of the packet. (c) By eliminating the forwarding information from switches and packets carry the forwarding information, the exhaustion of the recording table of the forwarding information is prevented.
近年の攻撃は、組織の外側からだけではなく、マルウェアに感染したクライアントや内部犯のために、組織の内側からも行われる。よって、従来のネットワークの境界に設置したファイアウォールでは、内部からの攻撃を防止することが出来ない。そこで、OpenFlowを用いて、Role Based Access Control (RBAC)ポリシに基づいて、内部のネットワーク全体のアクセス制御を行うシステムを開発した。
しかし、OpenFlowでネットワークアクセス制御を行う場合、コントローラにすべての問い合わせが集中するため、コントローラの負荷が課題となる。この課題を解決するために、コントローラで行っていたポリシデシジョンをスイッチ側に移すことによって、コントローラの負荷を分散するアーキテクチャを提案した。評価の結果、理想的な場合において、動的に配付するルールのサイズを93%削減できた。
The recent attacks are not only from outside the organization but also from inside the organization for malware-infected clients and malicious insiders. Therefore, conventional firewalls installed at the perimeter of the network cannot prevent attacks from the inside. Thus, we developed a system to control internal network access based on the Role Based Access Control (RBAC) policy using OpenFlow.
Here a problem is a load of a controller when performing network access control with OpenFlow because all the queries are concentrated on the controller. In order to solve this problem, we propose an architecture that distributes the controller's load by moving the policy decision point from the controller to switches. The evaluation results show that, in the ideal case, the size of the dynamically distributed rules could be reduced by 93%.
ソフトウェア開発や工業製品設計などの業務委託に見られるような企業間協働が、ますます盛んになっている。この中で、J-SOX 法や個人情報保護法などの法制化などに起因するコンプライアンス意識の高まりから、ファイル暗号化の徹底といった情報共有ポリシを、委託先も含めて強制したいといったニーズが顕在化しつつある。これまでに、OS 層におけるポリシ強制方式が知られているが、これらの企業間協働への適用は、以下の点で困難であると考えられる。
特定OS・アプリケーションの利用を前提としているが、企業間協働では異なるOS・アプリケーションの利用が想定される。
協働プロジェクトの立ち上げ・メンバ変更などに伴い、ポリシ強制ツールのインストールやポリシ設定などといった環境構築が必要となる。
これらの課題に対し、特定OS・アプリケーションに依存せず、協働プロジェクトの生滅・経時的変化に同期して、所定の情報共有ポリシ強制を徹底できる、ドメイン仮想化アーキテクチャを提案する。
本アーキテクチャは、以下の構成要素からなり、安全な協働環境を実現する。
仮想マシン(VM)におけるポリシ強制機構 により、OS 非依存なポリシ強制を可能とする。
協働プロジェクトのポリシ・ユーザID・VM・鍵を管理するプロジェクト管理機構により、プロジェクトの生滅やメンバの変化などに追随した作業環境(仮想アプライアンス)とポリシの配布・設定を行う。
Collaboration across organizations, as seen in the outsourcing of software development and industrial product design, is becoming increasingly popular. In this context, the J-SOX Act and the Personal Information Protection Law have led to a heightened awareness of compliance, and the need to enforce information sharing policies such as thorough file encryption, including those of contractors, is becoming apparent. Although policy enforcement methods at the OS layer have been known, their application to inter-enterprise collaboration is considered to be difficult due to the following points.
It is assumed that different OSes and applications will be used in inter-enterprise collaborations.
When a collaborative project is launched or members are changed, it is necessary to build an environment such as installing policy enforcement tools and setting policies.
To address these issues, this project proposes a domain virtualization architecture that does not depend on any specific OS or application, but can enforce a given information sharing policy in synchronization with the life cycle of collaborative projects. This architecture consists of the following components to achieve a safe collaborative environment.
The policy enforcement mechanism in a virtual machine (VM) enables OS-independent policy enforcement.
The Project Management Organization, which manages collaborative project policies, user IDs, VMs, and keys, distributes and sets up the work environment (virtual appliance) and policies in accordance with the life or death of the project and changes in members.
近年、組織の内部の人間による犯行が問題となっている。しかし、そのような内部犯は、業務を行うために組織のリソースのアクセスするための権限を持っているため、防止したり検出したりすることが難しい。この問題を解決するために、内部犯の不審な行動を誘発する心理的なトリガーによって、内部犯を発見するフレームワークを開発した。本フレームワークは、内部犯行のイベントそのものではなく、心的なトリガーによって誘発される証拠隠滅のイベントを検知する点に特徴がある。例えば、内部犯は犯行を隠蔽したいという心理を利用し、偽の監査情報を通知することにより、ファイルやメールの削除のような証拠隠滅を誘発する。このような証拠隠滅の動作の検知は、ファイル・メールの削除のイベント数をカウントすることにより容易に検知可能である。
加えて、フレームワークをアーキテクチャに落とし込み、監査の通知を行うannouncer、対象者の行動を監視するmonitor、monitorが収集したイベントを解析するanalyzerから構成されるアーキテクチャを考案した。
上記で挙げたユースケース以外では、Webプロキシのログの監査を通知することによる、不要な(プライベートな)Webページ閲覧の発見や、不要なアプリケーションのインストールの発見などが考えられる。
In recent years, crimes committed by people inside the organization have become a problem. However, such internal criminals are difficult to prevent or detect because they have the authority to access the organization's resources in order to conduct business. To solve this problem, we developed a framework for discovering insiders by psychological triggers that trigger suspicious behavior. The feature of this framework is that it detects events of evidence destruction triggered by psychological triggers, rather than internal criminal events themselves. For example, inside criminals use the psychology of wanting to cover up their crimes to induce the destruction of evidence, such as the deletion of files and emails, by notifying them of false audit information. The detection of such evidence destruction behavior is easily detectable by counting the number of events of file/email deletion. Moreover, we dropped the framework into an architecture comprising an ANNOUNCER to inform the audit, MONITOR to monitor the behavior of the subject, and ANALYZER to analyze the events collected by MONITOR.
In addition to the use cases listed above, it is possible to detect unwanted (private) web page browsing or installation of unwanted applications by notifying the audit of the web proxy log.