1. 2013 年度 特設講義（情報セキュリティ運用リテラシーⅠ・Ⅱ）
「セキュアシステムの
インターネットと
SNS 上での構築とその課題」
WEB 公開版のため内容は
修正・一部削除してあります。

2. 講師自己紹介
情報通信研究機構 ネットワークセキュリティ研究所
セキュリティアーキテクチャ研究室 主任研究員
政策・メディア博士（慶應義塾大学政策・メディア研究科）
研究テーマ：ネットワークセキュリティ、オペレーティングシステム
■２０００年３月 慶應義塾大学総合政策学部卒業 ( 国際政策コース）
■２００２年９月 慶應義塾大学政策メディア研究科前期博士課程卒業
（修士 政策・メディア）
■２００６年３月 慶應義塾大学政策メディア研究科後期博士課程卒業
（博士 政策・メディア）
■２００６年 - 現在 独立行政法人 情報通信研究機構主任研究員
■２００６年 - 現在 総務省一種技官
2

3. 講師自己紹介 (publication)
相見眞，安藤類央，水谷正慶，武田圭史 「 WindowsOS 上での不正なファイルアクセス
の検知・無効化処理における負荷低減手法」 , 情報処理学会 コンピュータセキュリティ
シンポジウム２０ 10 ２０ 10 年１０月
Ruo Ando, Youki Kadobayashi, Youichi Shinoda, "Asynchronous Pseudo Physical
Memory Snapshot and Forensics on Paravirtualized VMM Using Split Kernel Module",
ICISC 2007, The 10th International Conference on Information Security and
Cryptology, November 29-30, Seoul, Korea
Ruo Ando, Kazushi Takahashi, Kuniyasu Suzaki,"Inter-domain Communication Protocol
for Real-time File Access Monitor ofVirtual Machine",Journal of Wireless Mobile
Networks, Ubiquitous Computing and Dependable Applications, March 2012
安藤類央 , 橋本正樹 , 山内利宏 : 仮想化技術による安全なファイルアクセスログ外部保
存機構 , 情報処理学会論文誌 , Vol.54, No.2, pp.585-595, Feb. 2013.
「 A Measurement Study of Open Resolvers and DNS Server Version 」 , Yuuki Takano,
Ruo Ando, Takeshi Takahashi, Satoshi Uda, Tomoya Inoue, インターネットコンファレ
ンス 2013, 2013 年 10 月
3

4. 講師自己紹介 (presentation)
■PacSec Tokyo Novmber 2011, "Rapid and Massive monitoring of DHT: crawling 10
millions of nodes in 24hours" - Ruo Ando, Takayuki Sugiura
■DeepSec 2009, eKimono: detecting rootkits inside Virtual Machine , Nguyen Anh
Quynh, Kuniyasu Suzaki,Ruo Ando, 2009/Nov/10. Vienna, Austria.
■AV-Tokyo 2009, Unified memory forensic toolset for Virtual Machine, Nguyen Anh
Quynh, Kuniyasu Suzaki,Ruo Ando, 2009/Oct/31.
■FrHack 2009, Memory forensic and incident response for live virtual machine (VM),
Nguyen Anh Quynh,Kuniyasu Suzaki, Ruo Ando, 2009/Sec/7 Besan Mon, France
■SysCan Singapole 2009, “Outspect: Live Memory Forensic and Incident Response for
Virtual Machine”,Nguyen Anh Quynh, Kuniyasu Suzaki, Ruo Ando,2009/07/03
4

5. 第１回：概要
 サイバーセキュリティ
の
長期トレンドと短期トレ
ンド
 ハッカーと攻撃技術の
分類
 スマートグリッドと
SCADA
 攻撃のインセンティブ
と
地下経済
• 攻撃技術
Return Oriented
Programming
DNS Attack
制御系システムへの攻撃
観測・検出技術
Packet Monitor と NetFilter
メモリ観測
アクセス制御技術
Linux Kernel Module
Trusted Computing

6. 第２回：概要
 長期トレンド
 新しい攻撃形態
 検出技術とアルゴリズ
ム
 大規模データのフィル
タリング
 大規模観測技術
• 第二回
攻撃技術
Socware と SocialBot
標的型攻撃
ソーシャルエンジニアリング
観測技術
大規模データ収集技術
機械学習を使った検出技術

7. 短期トレンド
Google vs Facebook
Market Share: 2010 May
Google はすべて
を
WEB 上に置いて
検索できるよう
にした。
知っている人
に訊けばいい
やというのが
Facebook の
発想
http://outoftheoverflow.com/tag/weekly-market-share-of-visits-to-facebook-com-and-google-com/

8. インターネットとソーシャルネットワークの違いトポ
ロジー
ライン
リング
バス
スター
C/S （クライアントサーバ） モデル
P2P
モデル トポロジー：スター型
トポロジー：メッシュ型
フルメッシュ
インターネット
ライン、スター、バス
メッシュ
ツリー
ソーシャルネットワーク
メッシュ、リング、スモールワールド

9. 短期トレンド１
特殊なマルウェア（ STUXNET)
SNS2
IP 電話
ネットワーク上の
コミュニケーションの
性質変化
Volume
Velocity
大規模化 DDOS
特殊な攻撃方法（ SQL インジェクション、 DNS キャッシュ）
特殊なマルウェア（ Conficker, Gumbler)
SNS
巧妙な手口（フィッシング・ソーシャルエンジニアリング＋サイ改ざん）
ブログ・掲示板
Variety
情報漏えい（ Winny, Share, USB メモリ紛失盗用、メール誤送信）
主要サイトの改ざん（脆弱性悪用）
サイト改ざん（マルウェア、サプライチェーン悪用）
旧来の攻撃（ DDOS 、マルウェア、パスワードクラッキング、ソーシャルエンジニアリング、脆弱性悪用）
２０００
２００５
２０１０

10. ２種類の攻撃方法（データと制御
）
データを奪う
暗号解読
データ漏洩
出力（通信デー
タ）から入力
（秘匿データ）
を推測
悪意のある
入力
悪意のある
出力
制御を奪う
外部から機密データに
不正アクセスする
サイバーテロ
ハッキング

11. 従来の攻撃と新しい攻撃
従来の攻撃
マルウェア
フィッシング
スパム
クロスサイトスクリプ
ティング
ブラックリスト・境界防御で
ある程度防げる
新しい攻撃
•クリックジャッキング (LaaS)
•De-anonymization ( 非匿名
化）
•SocialBot
•Sockware
•標的型攻撃
ブラックリスト・境界防御は
無効化される

12. 典型的な不正アクセスの手順
情報収集
侵入
占拠
撤収
アドレス・ポートスキャン
盗聴、ソーシャルエンジニアリング
脆弱性攻撃
パスワードクラック・トロイの木馬
情報の盗難・改ざん
スパムメールの送信
踏み台・ツールの設置
ログ消去 バックドアの設置
設定の変更など

13. アドレススキャン
情
報
収
集
侵
入
占
拠
ポートスキャン
バナー情報収集
脆弱性
セキュリティホールを
利用した攻撃
情報を盗む
踏み台の作成
撤
収
WHOIS DB
WEB DNS 調査
ソーシャル
エンジニアリング
パスワード
クラック
情報の改ざん
盗聴
トロイの
木馬
スパムメールの発信
DDOS ツールの設置
ログ消去
バックドア設置と偽装

14. 情報セキュリティ技術の分類 ( ツール）
予防
観測
検出
解析
診断
制御
受動
能動
異常
不正
動的
静的

15. 情報セキュリティ技術の分類（論文）
① ソースコード、バイナリに加えて設定の
予防
観測
検出
解析
診断
不備を検出
制御
②MAC, DAC より新しいアクセス制御
受動
③Honeypot, Darknet
能動
④Crawler, active monitoring
異常
⑤ 大量のデータから悪意を検出
不正
⑥Scalability のため関数型言語系を採
用
動的
静的
⑦Android の動的解析
⑧Android の静的解析とデコンパイラ

16. ① ソースコード、バイナリに加えて設定の不備を検
Detecting BGP Configuration Faults with Static Analysis
出
in this paper they propose static analysis for detecting two class of faults of
BGP routers; validity faults and path visibility faults. path visibility and route
validity - are two high level aspects of correctness. path visibiity says that BGP
will correctly propagate routes for existingm usable IP layer paths. route validity
says that if routers attempt to send data packets via these routes, then packets
will ultimately reach their intended destinations.
Detecing BGP configuration faults poses several phases of challenges. first,
defining a correctness specification for BGP is difficult. second, this high-level
correctness specification should be used to derive a set of constraints which can
be tested against the actual configuration.
they analyze network wide configurations from 17 different ASes to detect nore
than 1000 BGP configurations faults which had previously gone undetected by
operators.

17. ②MAC, DAC より新しいアクセス制御
Capsicum: practical capabilities for UNIX
capsicum is different from both MAC and DAC. Neither MAC and DAC was designed to
enforce system of a single application processing many types of information on behalf of
the user. Web browser could be good example. Current web browser must parse HTML,
scripting languages, image and video from many untrusted sources, however, it acts with
full privilege of the user, has access to all his resources. In this case, capability of web
browser should be decomposed into several OS processes. unfortunately, these system
vary by platform, but all require a significant amount of programmer's effort.
-- Usenix Security 2010
Privman: A library to make privilege separation easy
Privman (ATC 2003) is early work of privilege separation. One of the motivation of privman
could be that general developers with little security awareness at least at that time. The
contribution of privman is to facilitate a specific technique for writing secure software:
partitioning applications between trusted and untrusted. In general, Linux is monolithic
kernel and has coarse grained without any strict compartment. As well as capability based
method, Privman provides privilege separation which is a technique that isolates trusted
code, hence reducing the amount of code that needs to be carefully audited.
-- Usenix Annual Tech 2003
http://code.google.com/p/privman/

18. ③Honeypot, Darknet
DarkNOC: Dashboard for Honeypot Managemen
we present DarkNOC, a management and monitoring tool
for complex honeynets consisting of different types of
honeypots as well as other
data collection devices. DarkNOC has been actively used
to manage a honeynet consisting of multiple subnets and
hundreds of IP addresses. This paper describes the
architecture and a number of case studies demonstrating
the use of DarkNOC.
Usenix LISA 2011

19. ④Crawler, active monitoring
A Practical Attack to De-anonymize Social Network Users
social networking sites such as facebook, linkedIn have been
reporting expotential growth rates. in this paper it is shown that
information about group memberships of a user in a single OSN
is oft en sufficient to uniquely identify this user, or at least, to
significantly reduce the set of possible candidates. this is called
as de-anonymization attack. they leverage well-known web
history stealling attack for determining the group membership of
a user.
browser history stealing. history stealing is a known attack in
which a malicious website can extract the browsing history of a
visitor. in experiment, they cope with Xing which is middle scale
social netwworking with more than eight million members. their
analysis suggest that 42% of the users that use groups can be
uniquely identified, while for 90%, they can redice the candidate
set to less than 2912 persons.
SSP 2010

20. ⑤ 大量のデータから悪意を検出
DNS lookup patterns: Monitoring the initial DNS behavior of malicious domains
We explore the behavioral properties of these domains from two perspectives: (1)
the DNS infrastructure associated with the domain, as is observable from the
resource records; and (2) the DNS lookup patterns from networks who are looking
up the domains initially. Our analysis yields many findings that may ultimately be
useful for early detection of malicious domains. By monitoring the infrastructure for
these malicious domains, we find that about 55% of scam domains occur in attacks
at least one day after registration, suggesting the potential for early discovery of
malicious domains, solely based on properties of the DNS infrastructure that
resolves those domain.
Internet measurement conference 2010
BotMiner: Clustering Analysis of Network Traffic for Protocol- and StructureIndependent Botnet Detection
this paper, we present a general detection framework that is independent of botnet
C&C protocol and structure, and requires no a priori knowledge of botnets (such as
captured bot binaries and hence the botnet signatures,and C&C server
names/addresses).
Usenix security 2008

21. ⑥Scalability のため関数型言語系を採
用
Chimera: NSA's SQL support for stateful IDS
[1] sidehijacking is a term used to describe the attack
where a hacker steals a session token from an
unencrypted HTTP cooie and them impersonates the
legitimate user.
[2] about malicious domains, they focus on a subnet of the
DNS answer and TTL based features such as number of
distinct IP addresses per domain and number of domains
which share the sme IP address.
[3] DNS tunnels: DNS protocol is designed to resolve
information about domain names. however, it can also be
used for covert communication by storing ata in the
requsted domain name.
Usenix Security 2012

22. ⑦Android の動的解析
TaintDroid: an information-flow tracking system for
realtime privacy monitoring on smartphones
TaintDroid provides realtime analysis by leveraging
Android’s virtualized execution environment.
TaintDroid incurs only 14% performance overhead on a
CPU-bound micro-benchmark and imposes negligible
overhead on interactive third-party applications. Using
TaintDroid to monitor the behavior of 30 popular thirdparty Android applications, we found 68 instances of
potential misuse of users’ private information across
20 applications.
OSDI 2010
http://appanalysis.org/

23. ⑧Android の静的解析とデコンパイラ
A study of android application security
Android phone identifiers. they analyzed 21 million lines of 1100 which is
recovered of their decompiler from popular android applications. they have
design and implement a Dalik decompiler ded which has recovered 21 millions
LOC retrieved from the top 1100 free aplications. the choice to decompile the
Java source rather than operate on the DEX opcodes directly was grounded in
two reasons. first, they wanted to leverage exsiting tools for code analysis.
second, they required access to source sode to identify false-positives resulting
in from automated code analysis.
analysis specification is based on three aspects.
1) control flow analysis: control flow analysis imposes constraints on the
sequences of actions executed by an input program P, classifying some of them
as errors.
2) structual analysis: structual analysis allows for declarative pattern matching
on the abstract syntax of the input source code.
3) semantic ananlysis: semantic analysis allows the specifiction of a limted set of
constraints on the values used by the input program.

24. Attacker “leverages” … テコの原理
技術進歩による①から⑤の攻撃者の能力拡大に共通してい
るのは、
テコの原理による力の増大である。
技術が進むと一回の攻撃で可能になることが増え、攻撃者
が強くなる。
クラスブレークを見つけると同じ種類のシステムならどれ
でも攻撃でき
るため、攻撃者が強くなる。
自動化ができれば同じ弱点を何回でも攻撃できるため、攻
撃者が強くなる。
遠隔作用と情報集約が進めば標的が増えるので、攻撃者が
強くなる。

25. 急激な技術進歩とセキュリティ
 技術革新は大昔から攻撃者と防御者の力関係を変化させて来
た。
ローマ帝国の絶頂期、ローマ軍が負け知らずだったのはその装
備
重曹歩兵と訓練が圧倒的に優れていたからである。あぶみが発
明さ
れると、騎馬戦が発達し、中世の騎馬騎士の時代が訪れる。と
ころが
石弓が発明されると、騎馬騎士など簡単に倒せるようになる。
米国の南北戦争では、北軍に鉄道と電信の技術があったことが
大き
な不均衡だった。
→ 「セキュリティはなぜ破られたか」、ブルース・シュナイ
アー

26. 急激な技術進歩とセキュリティ
① クラスブレーク
標準化が進むと、同じ機能を持つ部分すべてを破壊するクラスブレークが可能になる。大勢が同じオペレー
ティ
ングシステムを使っていることで感染が大規模化する。
② 非同期化（非逐次化）
処理の順番が決まってきない非逐次処理の複雑なシステムが互いに密接に影響しあう。インシデントがドミ
ノ倒
しのようにすばやく広がり、抑制が難しい。例：２００３年１月韓国を襲ったコンピュータワームがシアト
ルの緊急
電話回線をダウンさせた。
③ 自動化
クラスブレークを見つければ自動化して攻撃を繰り返すことで、成功する確率が非常に低い攻撃でも利益に
なる場合がある。例）攻撃側からすれば、スパムメールやソーシャルボットは一日数十件成功すればよい
自動化により、小さな攻撃が無視できなくなった。
→ 「セキュリティはなぜ破られたか」、ブルース・シュナイアー

27. 脅威： Android マルウェアの増加
マカフィーが 2013 年第 2 四半期の脅威レポ
ト、
Android マルウェアが増加
モバイルマルウェア全体の中では、被害者に
気付かれずにデータを盗むバックドア型トロ
イの木馬や、銀行のログイン情報を取得する
マルウェアが最大の割合を閉める。

28. APT ( 標的型攻撃）と
ソーシャルエンジニアリング
③ マルウェア感染
SNS
SNS
Service
Service
① 事前調査
攻撃者
従業員
従業員
② １次攻撃
① 事前調査と
② １次攻撃に
ソーシャルエンジニアリングを
使うことが多い。
④ 重要情報
の調査と発見
従業員
従業員
⑤ 攻撃者による
データ収集と外部への
流出

29. 標的型攻撃の流れ
Reconnaissance
Gain Internet Access
Create Persistence
Theft
Goal
調査段階の特徴
SNS Facebook Twitter Messenger
検索エンジンなどを利用
ソーシャルエンジニアリングの利用
攻撃の初期段階
写真、勤務先住所などの入手
Messenger やメールなどで連絡
攻撃開始
クライアント PC が標的
悪用する脆弱性の選択
標的ネットワークへの持続的攻撃
遠隔操作ソフトの利用
ネットワークの掌握
パスワードの把握
接続元の隠蔽、匿名化
破壊工作

30. Underground system と地下経済
ゼロデイ
マーケット
販売
攻撃者
ボットネット
マーケット
スキャンと
侵入
悪意のある
サイト
脆弱性利用 リダイレクト
攻撃したサイトを
ボット化
情報摂取
ボットネット
指令サーバ
フィッシング
レンタル
スパム
DDOS
マルウェア
マーケット
サービス停止
株式詐欺
悪徳商法・広告

31. 防御方法

32. セキュリティ対策の実行上の
基本原則
プリベント
（回避）
レスポンド
（対応）
リカバリー
（復旧）
プロテクト
（防御・防
止）

33. リスク管理
高
低減
回避
受容
移転
reduction
avoidance
発生
頻度
Acceptance
transference
低
低
被害額
高

34. リスクマップ（案）
振り込め詐欺
回避
avoidance
オークション
詐欺
SOCWARE
逮捕可能性低
高
ATM 強盗
低減
reduction
高
ゴルフ場
スキミング
コンビ二
偽造クレカ
発生頻度
transference
De-anonymization
銀行強盗
逮捕可能性高
LaaS, SNS スパム
低
百貨店
偽造クレカ
SNS と連動する
スマホマルウェア
ひったくり
移転
SOCIALBOT
被害額
フィッシング詐欺
深夜牛丼点
強盗
儲け大
コンビ二強盗
儲け小
低
万引き
受容
Acceptance

35. セーフガード：セキュリティ対策
リスクコントロール
リスク管理
抑止
発生しない
ようにする
許容
被害が小さ
ければ OK
予防
被害を最小
にする
低減
発生頻度と損
害額を小さく
する
検知
脅威をすば
やく
発見する
移転
発生要因を
外部に
回復
発生しない
ようにする
回避
発生要因を
取る

36. 情報セキュリティ対策技術
予防機能
抑止機能
セキュリティポリシーと策 定とポリシーによるネットワーク管理
防御機能
アクセス制御、認証（パスワード等）、暗号化、デジタル署名、ファイア
ウォール
分析・予測機能
脆弱性検査、バージョンのアップデート、パッ チ適用、不要サービス削除
検知機能
検知機能
ウィルススキャナ、ログ解析、侵入検知、監視カメラの設置
回復機能
被害軽減機能
セグメント化、サーバの切り替え、ルータの冗長化
応急対応機能
インシデント対応、コンティンジェンシプラン、フ ァイル修復
再構築機能
新たにリリースされたセキュリティ技術の対応、情報セキュリティ 監査

37. 脅威、脆弱性、リスク
脅威
① リスク：なんらかの被害、損失を生じさせる
事態や状況になる可能性のこと。また被害
が発生した際の状況を分析した際の損失
可能性（リスク因子）を示す。
② プログラムや設定の不備などによるリスクを
発生させる要因のこと。
③ 脅威：脆弱性を利用してリスクを実際に発生
させる手段のこと。
脆弱性
リスク
セキュリティ対策
脅威 ① リスクのコントロールあるいは回避
リスク
脆弱性
② 脆弱性を修正・消去する
③ 発生した脅威の迅速な対処
④ 被害にあった防御対象の回復

38. 脆弱性が発生する要因
① 開発技術者が、脆弱性に対処または解消するための知識
やノウハウ（セキュアプログラミング）などを充分に持
ち合わせていない。
② 通信の保全、データの秘匿などに加えて、双方向通信で
の悪意のある入力に対して、悪意のある出口を返すとい
うコンセプトでシステムが開発されていない。
③ アプリケーションの開発の自由度より、セキュリティ面
での実装の一貫性を確保することが困難であり、共通し
た技術を用いない場合、包括的なセキュリティ対策が難
しくなる。

39. 脆弱性が発生する要因
④ システムの開発から運用にかけて、個別
のアプリケーション開発者、システム構
築と運用の間で適切な情報共有がされて
いないことから、どの段階や部分でどの
程度のセキュリティ対策を実施すればよ
いのか不明確になる。
⑤ システム開発の分業化が進んでいるため
、アプリケーションのレベルでは安全で
もネットワーク設定などの脆弱性を突い
て最弱点公的が行われる場合が多くなる
。
⑥ セキュリティは非機能要件であるため、
開発におけるコストを増加させる要因と
して認識される場合が多く、結果として
セキュリティの実装が行われないことが

40. リスクのコントロールと監理
技術面での対
策
ファイアウォールの設置、 WEB アプリの脆弱
性対策、
ファイルや通信の暗号化、パッチ適用、
ウィルスソフトの導入
リスクコントロール
抑止、予防、検知、
回復
運用面での対
策
サーバの設定の見直し、情報収集、入退室管理
、
管理記録、利用記録の徹底、定期的な研修、
マニュアルの作成
リスク管理
許容、低減、移転、
回避
抑止
外部委託（アウトソーシング）、不要なサービス
の
停止、ホスティング、監視カメラ、契約書への
規則明記
予防
ファイアウォール設定、アンチウィルスソフト、
アクセス制御
検知
アクセス・利用ログの検査、ネットワークの監視
回復
バックアップ、復旧対策マニュアル作製、
予備機器の確保
コントロール
許容
緊急時対応のコスト（予算、人員）の確保
低減
データの分散配置、管理者の多層化、モニタツー
ルの導入
移転
外部委託（アウトソーシング）、損害保険、クラ
ウド利用
回避
インターネットの利用の制限、不要サービスの停
止
管理

41. セーフガード：セキュリティ対策
リスクコントロール
リスク管理
抑止
発生しない
ようにする
許容
被害が小さ
ければ OK
予防
被害を最小
にする
低減
発生頻度と損
害額を小さく
する
検知
脅威をすば
やく
発見する
移転
発生要因を
外部に
回復
発生しない
ようにする
回避
発生要因を
取る

42. 情報セキュリティ対策技術
予防機能
抑止機能
セキュリティポリシーと策 定とポリシーによるネットワーク管理
防御機能
アクセス制御、認証（パスワード等）、暗号化、デジタル署名、ファイア
ウォール
分析・予測機能
脆弱性検査、バージョンのアップデート、パッ チ適用、不要サービス削除
検知機能
検知機能
ウィルススキャナ、ログ解析、侵入検知、監視カメラの設置
回復機能
被害軽減機能
セグメント化、サーバの切り替え、ルータの冗長化
応急対応機能
インシデント対応、コンティンジェンシプラン、フ ァイル修復
再構築機能
新たにリリースされたセキュリティ技術の対応、情報セキュリティ 監査

43. その他のセキュリティ対策
隠蔽：資産が存在する場所を多数にする。
不可視化：資産が見えないようにする
反撃：相手にコストやダメージを与える
陽動：相手の攻撃の焦点をずらす
だまし：偽の資産を標的にさせる
逃走：相手の攻撃範囲から外れる
封印：攻撃の記録をする
複製：情報資産が盗難されても紛失しないよ
うにする。
 警告表示：防御反撃策の存在を示す
 嫌悪感の喚起：情報資産の価値を下げる









44. 多層防御：侵入検知
ネットワーク
通信トラフィック
ルータやファイアウォールログの確認、
ネット
ワーク型モニタシステムなどの活用
サーバ
ログオンやログオフなどの
システムログ
ログインやログオフなどのシステムログの
確認、
ホスト型モニタシステムの活用
アプリケーション
WEB などの
アプリケーションログ
アプリケーションログの確認、 WEB 型ト
ラフィク
モニタシステムの活用
データ
ファイルアクセスなどの
リソースへのアクセスログ
ファイルなどのリソースのアクセスログの
確認、
ホスト型モニタモニタシステムの活用
ネットワー
ク
モニタ
WEB サー
バ
侵入検知
WEB アプ
リ
モニタ
データベー
ス
侵入検知

45. 区画化と関門
退館退室
④ 持ち出し
管理
⑤ 退場確認
入室入館
① 申請許
可
② 持込管
理
③ 入場受
B 事務室
付
C 応接室
A サーバ室
C 受付
B 会議室
C: 公開区画
A: アクセス制限区画（特定メンバのみ入室可能） B: 業務区画（社員
、派遣社員入室可能） C: 一般区画（訪問者、外来者の入室可能）

46. アクセス制御の種類
● アクセス制御には、任意アクセス制御（ DAC ）、強制
アクセス制御（ MAC ）、ロールベースのアクセス制御
（ RBAC ）の 3 種類がある。
① 任意アクセス制御（ DAC ）は、オブジェクトの所有者
がアクセス権限を設定する
② 強制アクセス制御（ MAC ）は、あらかじめ設定された
レベル分けによって、強制的に読み取りや書き込みな
どの権限が制限される
③ ロールベースのアクセス制御（ RBAC ）は、ロール（
役割）によって実行できる操作が制限される

47. 多重（多層）防御
① 物理セキュリ
ティ
入退室管理
⑤ データセキュリティ
暗号・アクセス制御
② ネットワークセ
キュリティ
ファイアウォール、侵
入検知、暗号通信
③ ホストセキュリ
ティ
OS 設定、脆弱性
対策
ファイアウォール
④ アプリケーショ
、
ン
侵入検知
セキュリティ
脆弱性対策
ファイアウォール

48. 多層防御：権限管理
強制アクセス制御
権限管理
主体
【人・装置・プログラム】
アクセス条件の設定
アクセス許可
アクセス制御
主体認証
客体
【情報・ファイル】
ID ・パスワードに
よる認証
分類

49. 分類
脆弱性
クロスサイトスクリプティング
SQL インジェクション
セキュリティと直接
関係のないバグ
バッファオーバーフロー
出力の
不備
HTTP ヘッダーインジェクション
クロスサイトスリクエスト
フォージェリ
セキュリティ機能の
不備・欠落
ディレクトリトラバーサル
処理の
不備
アクセス制御の不備
あった方がよいもの
なくてはならないもの
あってはならないもの
脆弱性（バグ）とは
アプリケーション
コンピュータやネットワーク
要件
などの情報システムにおいて、
第三者が保安上の脅威となる
行為 ( システムの乗っ取りや
不完全だと
機密情報の漏洩など ) に
脆弱性になる 利用できる可能性のある
システム上の欠陥や仕様上の
問題点。

50. 匿名化
と
区画化
情報サーバ
R2 Middle Node
以前の犯罪組
織はお互いの
ことを知って
いる。
今犯罪組織は
お互いのこと
で知らないこ
とが多い。
R1 Entry Node
R3
①R1 は R2 より先のことは知らない。② R2 は R1 からのデータを R3 に中継したことしか
分からない。③ R3 は R2 からデータが来たことしか分からない。
B 事務室
C 応接室
A サーバ室
C 受付
B 会議室
C: 公開区画
A: アクセス制限区画（特定メンバのみ入室可能） B: 業務区画（社員
、派遣社員入室可能） C: 一般区画（訪問者、外来者の入室可能）

51. セキュアプログラミング
安全なソフトウェア開発
設計
設計設備で品質が悪いと完成した製品の品質が悪くなる。開発段階に移行し
てか
らの設計ミスの修正は非常に困難で、修正そのものが不可能な場合がある。
この
ような場合、設計ミスによりソフトウェアの納品に重大な遅れが生じる。
利用する各要素技術が完全に利用できる技術かどうかの認識は不可欠。
実装
実装段階で、バッファオーバーラン、 SQL インジェクションなどの
既知の問題点に対応する必要がある。
特に最近では、 WEB アプリケーションを利用したシステムで、セッションを
適切に保
持することなどが必要である。
考慮しなければならない点として、利用者はミスをするという前提である。
開発者が意図したとおりの操作ができるようなシステムを提供できるように
しなけれ
ばならない。
テスト
設計段階、実装段階で安全に配慮したシステムを構築したとしても、利用者
が安全
に仕様できなければ意味がないので、意図した通り利用できるかの視点でシ
ス
テムをテストしなければならない。
運用
ソフトウェアが実際に利用されてはじめて発見される問題点を修正する
必要があるので、問題を修正するための体制を確立しておく必要がある。

52. 脆弱性検査
個別システム

53. 脆弱性検査
 個別システムの脆弱性検査
ソフトウェアに（未知のものも含めた）バグが
あるかどうかをチェックする。
 ネットワークの脆弱性検査
構成システムや設定に既知のバグがあるかを
チェックする。

54. 脆弱性の発見と検証：個別システム
攻撃ベクトルとデバッガーを用いる。
セキュリティ関連の解析には多用される！
① ホワイトボックステスト
ソースコードレビュー
ツールと自動化
② ブラックボックステスト
手動テスト
自動テスト（ファジング）
③ グレーボックステスト
バイナリ検査
自動バイナリ検査

55. 脆弱性検査
ネットワーク

56. 脆弱性の発見と検証：ネットワーク
 情報収集
対象システムが外部に公開している情報（設定）などを収集する。
 脆弱性試験
対象システム上で稼動しているサービスのバージョンや設定情報から、脆弱
性を発見する。
 侵入試験
実際に発見された脆弱性を用いて対象システムに侵入できるか試験し、成
功後の可能な攻撃やセッションの継続などの情報を収集する。
分類名称
内容
悪影響
情報収集
散発的に情報を収集
ない
脆弱性試験
系統系に情報を収集
ない
侵入試験
系統的に情報を収集後、検証を行う
。
殆どな
い
本当の攻撃
脆弱性を利用し、悪影響を与える。
ある

57. 脆弱性の発見と検証：ネットワーク
WEB サイトから
最新の情報を
入手
http://cve.mitre.org/
ネットワークの
設定やソフト
ウェアの
バージョンを
洗い出す
当該する脆弱性により攻撃可
能か、
攻撃後の
セッションの振る舞いなどを
解析。

58. 脆弱性試験、侵入試験
環境設定例
Nessus はプラグインの
インストールが煩雑な
ので
Windows がオススメ。
カーネルモードデバッ
ガは、
Vmware （ホスト OS ）
側で
動かす。

59. 脆弱性試験
ポートスキャナー
開いているポートと
フィルタリングポリシーを調
査する。
稼動しているサービスが判明
脆弱性スキャナー
開いているポートと稼動して
いるサービスのバージョンか
ら、
脆弱性を列挙する。
脆弱性スキャナー
Nessus のオープンソース版
。

60. 侵入試験： Metasploit
多機能！
ペネトレーションテス
ト
脆弱性データベース
アンチフォレンジクス
POSTGRESQL
インターフェース
フロントエンド： msfconcole
RUBY
ペイロード、スクリプト
Java
ソケット、データベース

61. Metasploitable
metasploit 用のディスクイメージ
Metasploit 用
の
ディスクイ
メージ。
意図的に
脆弱性と誤設
定が入ってい
る。
Nessus の対象としても利用可。
25216 (1) - Samba NDR MS-RPC Request Heap-Based Remote Buffer Overflow
11219 (8) - Nessus SYN scanner11011 (2) - Microsoft Windows SMB Service Detection
10150 (1) - Windows NetBIOS / SMB Remote Host Information Disclosure
http://www.offensive-security.com/metasploit-unleashed/Metasploitable

62. 脆弱性解析：デバッガについ
て

63. デバッガの種類
 ユーザーモードデバッガ
API やシンボル情報、文字列や検索処理の機能が豊富。
 カーネルモードデバッガ
デバイスドライバやカーネルモジュールのデバッグや検索
に使う。
 プロセスメモリエディタ
起動後のアプリケーションにアーキテクチャタッチして利
用。メモリの検索に使う。
 自作する方法
リアルタイム解析に、上記デバッガなどを自作する。 DLL
インジェクション、フィルタドライバ

64. ユーザーモードデバッガ： OllyDBG
レジスタウィンドウ
メモリダンプ
ディスアセンブラ
その他のデバッガに比べて
文字列の表示と処理に
優れている（はず）

65. カーネルモードデバッガ： WinDBG
ソースコードがある
場合
カーネルモードで動くため、
デバイスドライバの排他制御などを
扱うことができる！
ソースコードがない、ま
たは
マルウェアなどの
解析の場合、
OS を仮想化しリモート
から
接続して使う。
（リモートカーネルデ
バッグ）

66. インサーキットエミュレータ
① インサーキット・エミュレータ (In-circuit emulator,
ICE) はデジタル機器の開発装置の 1 つである。 CPU
とも呼ばれるマイクロプロセッサの機能をエミュレー
トするハードウェアを主体としており、実際のマイク
ロプロセッサと同じ機能を実装し、さらにブレーク・
ポイントといったプログラムの実行途中で一時停止す
るといったデバッグ機能を操作するためのソフトウェ
アと組み合わされた装置である。ソフトウェアデバッ
ガでは実時間での処理が行えないので、デジタル機器
類での組み込みシステムや BIOS といった入出力動作
を確認する必要がある開発環境で使用される。
ICE （アイス）と呼ばれることが多い。
②"In-Circuit Emulator" は、米インテル社の登録商標であ
る
-- wikipedia

67. IISEC Enpit 第二回

68. 第２回：概要
 長期トレンド
 新しい攻撃形態
 検出技術とアルゴリズ
ム
 大規模データのフィル
タリング
 大規模観測技術
• 第二回
攻撃技術
Socware と SocialBot
標的型攻撃
ソーシャルエンジニアリング
観測技術
大規模データ収集技術
機械学習を使った検出技術

69. クラウドコンピューティングと
データ主権

70. Challenges for cloud computing security

71. Cloud computing security Overview
Cloud computing is
extremely fat-server
and thin-client system.

72. Cloud computing security Overview
Cloud computing is
Comprehensive system
of many technologies.

73. Current situation of cloud computing
cloud computing is becoming pervasive
• Gartner predicts that by 2015, 40 percent of the security
controls used within enterprise data will be virtualized, up from
less than 5 percent in 2010.
global cloud computing services revenue is
expected to hit $148.8 billion come 2014
a dramatic 16.6 percent rise compared to 2009
cloud services revenue, which was $58.6 billion.

74. Current situation of cloud computing
Security is top concerned issue
Five security issues
1) Security about virtual machine
environment
2) Security about data center
3) Legal issues about data
in foreign server
4) SLA service level agreement
5) Security about management
and operation
Virtual machine attack
T. Ristenpart, E. Tromer, H. Shacham, and S. Savage. “Hey, You, Get Off of My Cloud! Exploring Information
Leakage in Third-Party Compute Clouds.” In S. Jha and A. Keromytis, eds.CCS 2009,

75. Classification of cloud computing security
guidelines, standards and alliances
The right to retain ownership, use and control one‘s own data
ユーザーが保有するデータの管理と利用に関する所有権保持の権
The right to service-level agreements that address liabilities, remediation and business outcomes
負担、改善、業務上の成果の取り組みに関するサービスレベル契約の権利
The right to notification and choice about changes that affect the service consumers‘ business processes
利用者のビジネスプロセスに影響がある変化について、告知を受け選択する権利
The right to understand the technical limitations or requirements of the service up front
事前に技術的な制約や要件を理解する権利
The right to understand the legal requirements of jurisdictions in which the provider operates
事業者が則る法的管轄を理解する権利
The right to know what security processes the provider follows
事業者が行うセキュリティプロセスを知る権利
The responsibility to understand and adhere to software license requirements
適切なソフトウェアライセンスの要件を理解する義務
Gartner Global IT Council for Cloud Services Outlines Rights and Responsibilities for Cloud Computing
Services

76. Outline: insider threat and data leakage
Information leakage is one of the most serious damages
caused by insider threat. In this talk, I will introduce some
key issues about ex-post countermeasures of information
leakage
①First, "Data lives forever" problem is introduced. Once sensitive
information is leaked over Internet, we have no effective
countermeasures to nullify it. Some topics such as advanced secret
sharing and right to be forgotten will be noted.
②Second, I will talk briefly about "Data sovereignty" to provide a
logical
and technical basis for tracking spread information. PDP (provable
data
possession) could be one of solutions.
Finally, I will present some actual cases about these problems.

77. Insider Threats and Information leakage
LostTape 14%
Incidents by Breach Type
Stolen document
14%
Attacks from outside by hacking
is motivated for botNet, FaaS etc.
Data Leakage is one of the main
purpose of insider attack. Besides,
this kind of threat causes
retroactive disclosure.
Disposal
Document 14%
Social Engineering
And APT is sometimes
So hard to be prevented
Technically.
2012/11 http://www.datalossdb.org
Data lives forever:Once sensitive data is released to network,
it circulates forever.
Information leak: retroactive disclosure
Sensitive data could retrieved and retroactivated as offense.

78. Can retroactivation as offense be mitigated ?
Is ex-post countermeasure possible ?
Is it unstoppable
even if we adopt
domain seizure in
Amazon EC2 ?
2012/08
Dropbox
Confirms User
Email Leaks –
Adds Additional
Protection
DLP can protect sensitive
data sent from SNS ?
Top threats to enterprise security
IDC’s survey
2010
Trojans, Virtuses, other malware
54
78
Spyware
48
74
Hackers
41
67
Employees exposing information
52
66
Equipment misconfiguration
41
61
Application Vulnerabilities
44
59
Spam
Is it possible to prevent
Uploading sensitive files
?
2008
39
58
Data stolen by trusted party
38
53
Insider sabotage
34
49

79. Japan’s case: information leakage
via P2P networks
2008/03/22
National Bank of
Japan leaks
Confidential insider
information
2009/04/02: Tokyo
Rinkai Hospital –
a list of 598
inpatients
information
2005/06
Documents of
nuclear power
plant of Mitsubishi
was leaked.
2009/01/08: National InformationTechnology Promotion Agency - a
database of Ministry of Internal
Affiars and National Patent Office
2010/10/30 Metropolitan
Police Department taking
charge of international
terrorism splits a
confidential list over P2P
networks

80. Data Sovereignty in Cloud computing era
Data Sovereignty :the coupling of stored data authenticity
and geographical location in the cloud
A Position Paper on Data
Sovereignty: The Importance of
Geolocating Data in the Cloud
Zachary N. J. Peterson, Mark
Gondree, and Robert Beverly.
USENIX HotCloud 2011
However, as Cloud computing environment has
become international, securing data sovereignty
is harder and harder.
Technology of geolocation could be
cheated. PDP (Provable Data Possession)
could be one of the solutions
for this problem.
Giuseppe Ateniese, Randal C.
Burns, Reza Curtmola, Joseph
Herring, Lea Kissner, Zachary
N. J. Peterson, Dawn Xiaodong
Song: Provable data
possession at untrusted stores.
ACM CCS 2007

81. "Data lives forever" problem
• Wiki Leaks
WikiLeaks is an international organization that publishes submissions of
otherwise unavailable documents from anonymous sources and leaks.
On July 25, 2010, WikiLeaks released to The Guardian, The New York
Times, and Der Spiegel over 92,000 documentsrelated to the war in
Afghanistan between 2004 and the end of 2009.
• “Right to forget and delete”
European Commission sets out strategy to strengthen EU data protection
rules Nov 2010. “Controlling your information, having access to your data,
being able to modify or delete it – these are essential rights that have to be
guaranteed in today's digital world. “

82. P2P security VANISH: self destructing data
Roxana Geambasu, Tadayoshi Kohno, Amit Levy, Henry M. Levy. Vanish: Increasing Data Privacy with SelfDestructing Data. In Proceedings of the USENIX Security Symposium, Montreal, Canada, August 2009.
Technology: Secret sharing protocol and DHT
In vanish system, shared file is disappeared from network in a fixed interval.
Bob sends {C,L} to Alice. VANISH is implemented for Vuse DHT.
{C,L}
Data, timeout
Data, timeout
KN
K2
RANDOM INDEXES (L)
C=Ek(data)
K1
RANDOM INDEXES (L)
data=Dk(C)

83. P2P security UNVANISH: reconstructing data
Defeating Vanish with Low-Cost Sybil Attacks Against Large DHTs
Scott Wolchok, Owen S. Hofmann, Nadia Heninger, Edward W. Felten, J. Alex Halderman,
Christopher J. Rossbach, Brent Waters, and Emmett Witchel, Network and IT Security
Conference: NDSS 2010
UNVANISH mounts sybil nodes into DHT to replicate Ek hash to reconstruct data.
{C,L}
UNVANISH
Data, timeout
Data, timeout
KN
K2
RANDOM INDEXES (L)
C=Ek(data)
K1
RANDOM INDEXES (L)
data=Dk(C)

84. 新しい攻撃形態

85. ソーシャルネットワーク
オープン
ストック
フロー
クローズ

86. API による自動化と情報収集力の増加
現在、ソーシャルネット
ワーク上で多様かつ
高機能な WEB API が
提供されているが、これに
よりソーシャルボットや
ソックウェアが活性化
するケースがある。

87. Socware, SocialBot の検出
1 MyPageKeeper:Efficient and scalable socware detection in online social networks
mypagekeeper is a facebook application desinged for detecting malicious post in
facebook. once a facebook user installs mypagekeeper, it periodically crawls posts from
the user's wall and news feeds. mypagekeeper is tested from the perspective of over
12K users who have installed myPageKeeper and their roughly 2.4 million friends. by this
dataset, myPagekeepr turned out to be accurate (97% of posts flagged by it are indeed
socware and it incorrectly flags only 0.005% of benign costs) and efficient (it requires 46
ms on averatge to classify a post).
Security'12 Proceedings of the 21st USENIX conference on Security symposium
2 An analysis of socware cascades in online social networks
online social networks have become a popular new vector for distributing malware and
spam, which is called as socware. unlike email spam, which is sent by spammers directly
to intended victims, socware cascades through OSNs as compromised users spread it to
their friends.
WWW '13 Proceedings of the 22nd international conference on World Wide Web

88. 攻撃のインセンティブと
地下経済

89. 検出技術とアルゴリズム

90. システムセキュリティ
 On-Line: 侵入検知、アクセス制御
動いているシステムへの不正アクセス、攻撃トラフィッ
クを検出する。
稼動中のシステムへのリソースごとのアクセスを制御
する。
 Off-Line: コード解析、脆弱性検査、ぺネトレーションテスト
システムに入ってくるコードに悪意がないかチェックする。
システムに攻撃される箇所がないかチェックする。
 フォレンジクス（侵入、不正アクセスがあった後に）、攻撃の
証拠を発見、保存する。

91. コンピュータ
セキュリティのアルゴリズム
 ネットワーク系侵入検知のデータマイニング
トラフィックの中から攻撃パケットを検出する。
 システム系侵入検知のデータマイニング
リソースアクセス、システムコールのシーケンスの中か
ら悪意ある挙動、禁止されている挙動を検出する。
 コード解析系のアルゴリズム
マルウェアの解析：どのような攻撃がされるのか解析する。
防御対象のシステムに脆弱性がないか解析する。
 フォレンジクス系のアルゴリズム
ファイルシステム、不揮発性のメモリのスナップショットなどから、
攻撃や不正アクセスの跡を発見する。

92. 侵入検知とデータマイニング
 異常検知
通常状態、過去の履
歴
（プロファイル）か
らの乖離
を用いて検出。
 不正検知
不正なシグニチャや
パ
ターンを照合して検
出。

93. Introduction
BACKGROUND: The rapid increasing of security incidents imposes a great burden on Internet users
and system administrators. In this paper we discuss a parallel analysis for lightweight network incident
detection using nonlinear adaptive systems.
DEPLOYMENT: We run AID (anomaly intrusion detection) and
MID (misuse intrusion detection) systems in parallel.
Two detectors generate binary output misuse = {YES/NO} and $anomaly = {YES/NO}.
Then, we can determine whether we need to perform network or security operation.
ALGORITHMS: We apply clustering algorithm for AID and classification algorithm for MID.
The nonlinear adaptive system is trained for running MID and AID in parallel.
Proposed parallel system is more lightweight and simple to operate
even if the number of incident patterns is increased.
RESULT: Experimental results in the case where false positive is frequently caused show that our
method is functional with a recognition rate of attacks no less than 10%, while finding the anomaly
status. Also, performance evaluation show that proposed system can work with reasonable CPU
utilization compared with conventional serial search based system.
NPC 07

94. IDS (Intrusion Detection System)
NPC 07
IDS is an alarm and logger
IDS (Intrusion detection system) is kind of
alarm deployed on computer system and
network to detect activity called misuse,
that is something unauthorized action
such
as leaking or compromising.
Increasing the number of attacks
Recent increasing of the number of
attacks against computer systems is rapid
enough to pare off the effectiveness of
human response.
Current requirement for IDS
More effective, automated and intelligent
detection method is researched in many
fields to take some measures for the
unseen incidents. Generally, researches
are objective to construct a system
treating attacks with automatic response.

95. Background: Increase of IDS signatures
NPC 07
It is supposed that a large number of service and
system will be connected to the internet. And the
number of exposed security holes, flaws and
vulnerabilities is increasing rapidly still now.
On the other hand, the signatures of current
intrusion detection system is increasing and its
managing is becoming so complicated that
administrators is required to spend much time to
learn how to handle rules and maintain databases.
Current IDS checks all internal and external
packets and logs part of them according to
signature rule set.
With the complexity of managing signatures, there
is matter of concern that increase in the number of
signatures unnecessary impose the great burden
to the system and worse, the improper setting of
signature rule set drop the packets of coming
attacks.

96. Anomaly and misuse detection
profiles and signatures
NPC 07
BACKGROUND
Almost traditional IDS applies signature-based detection methods. Dataset of signatures is afforded manually by
experts. Recently, manually black-list based cannot catch up with the rapid increase of network security incidents
and
attacks. Therefore, the extension and alternatives of matching based detection has been researched.
Intrusion detection techniques are generally classified into two categories: anomaly detection and misuse detection.
MISUSE DETECTION
Misuse detection is performed by looking for the behavior of a known exploit scenario, which is usually described
by a specific sequence or data. Current signature based methods is classified in misuse detection but lacks
the scalability to extract features from attacks observed to detect even derivatives of conventional incidents by itself.
Misuse learning algorithms on labeled data generally cannot detect new intrusion as it is. In addition, processing
labeled data in order to find variation is usually so expensive.
ANOMALY DETECTION
On the other hand, anomaly detection is performed
by the inspection for the state that deviates from the baseline or normal state defined before.
Profiling algorithms for AID on unlabeled data is frequently causing false positive because the audit data
can be very large. And the output of this method is inclined to depend much on the numbers and features of data to
train.
CHARACTERIZATION OF TWO METHODS
AID takes advantage in sensitivity. MID takes advantage in singularity.
Sensitivity = TP / TP + FN
Singularity = TN / TN + FP
TRUE POSITIVE
FALSE
POSITIVE
FALSE
NEGATIVE
TRUE NEGATIVE

97. Data-mining and IDS
Clustering for AID / Classification for MID
NPC 07
[1] Clustering for AID
Outputs the distance from normal (usual) status.
Algorithms: Statistics / Clustering (Machine learning)
Dataset: profile (representation of normal)
Anomaly detection uses clustering algorithms because the behavior to
find is unlabeled, with no external information sources.
[2] Classification for MID
Outputs the similarity from misuse cases.
Algorithms: Statistics / Classification (Machine learning)
Dataset: signature (representation of attack)
Misuse detection adapts classification algorithm because the activity to
analyze requires that detector know how classes are defined.

98. Clustering and classification:
The tradeoff about the accuracy and range of detection
NPC 07
There are two major data mining techniques applied for
intrusion detection, clustering or classification.
Clustering is the automated, unsupervised process that
allows one to group together data into similar
characteristics. Classification is the method to learn to
assign data to predefined classes.
The tradeoff about the accuracy and range of detection
exists between clustering and classification.
Classification deal with predefined data, so it affords
detection of weaker signal and figure out accurate
recognition. But in some cases, it may be biased by
incorrect data to train and it is not able to detect new
type of attacks in the sense that the attack does not
belong to any category defined before.
Clustering is not distorted by previous knowledge, but
therefore needs stronger signal to discover. At the same
time it can deal with unlabeled attacks because the
training doesn't specify what the detection system is
trying to find while clustering go too far to perceive the
activity that is not included incident affair.

99. Experiment
DoS attack or network trouble?
NPC 07
In experiment, we test the case
Where false positive is occurred
Frequently.
Burst traffic of specific packet
Occurred by Network trouble
Is often misrecognized as DoS
Attack.
In this case,
Output of AID = YES
Output of MID = NO
Among anomaly burst traffic,
State caused by attack or
Malicious behavior is included.
In this case
Output of AID = YES
Output of MID = YES

100. Android マルウェアの検出と解析
 動的解析：実際に動作させて観測する。
Taint Droid: An Information-Flow Tracking System for Realtime
Privacy Monitoring on Smartphones
William Enck, Peter Gilbert, Byung-gon Chun, Landon P. Cox,
Jaeyeon Jung, Patrick McDaniel, and Anmol N. Sheth. In
Proc. of the USENIX Symposium on Operating Systems
Design and Implementation (OSDI), October 2010 in
Vancouver
 静的解析：デコンパイルやソースコードの検査をする。
A study of android application security
SEC'11 Proceedings of the 20th USENIX conference on Security
Pages 21-21
William Enck

101. Android マルウェアの検出と解析
Dalvik VM interpreter
Taint Droid: An Information-Flow
Tracking System for Realtime Privacy
Monitoring on Smartphones

102. Message level
tracking
動的解析
Application code
Application code
MSG
Variable level
tracking
Virtual machine
Virtual machine
Native system libraries
Network Interface
Secondary Storage
Method level
tracking
File level
tracking