<プロフィール>
名前:梶原 直也
所属:九州大学大学院システム情報科学府情報学専攻
櫻井研究室 修士1年
<研究テーマ>
学部4年時(電気情報工学科卒業研究)
Android端末における情報フロー追跡を用いた情報出力ポリシーの実現手法
<研究概要>
Android端末の普及に伴って,そのセキュリティが注目を浴びている.
これは,ユーザに悪影響を及ぼすマルウェアと呼ばれるアプリケーションの増加が原因である.
特に,近年ではユーザの同意を得ることなしにプライバシ情報を取得し,外部へ送信するアプリケーションの数が増え,
プライバシ情報の漏洩が問題となっている.
こうした情報漏洩を引き起こすマルウェアへの対策として,AndroidOSにはパーミッション機構というアクセス許可機構が存在する.
パーミッション機構は,Android端末における動作の中でも,特にシステムやセキュリティに関する重要度の高いものに関して制御を行っている.
ユーザは,アプリケーションのインストール時に各パーミッションを許可するという形で,アプリケーションへ各動作を行う権限を与えることになる.
そのため,アプリケーションが要求するパーミッションを確認することで,ユーザはアプリケーションの動作を把握することができると考えられている.
しかし,取得した情報の使用範囲を制御するパーミッションは存在しないため,取得された情報が端末外へ送信されるかパーミッションから判断することは難しいという問題点が存在する.
本研究では,パーミッション機構がAPI単位でAndroidの動作を制御し,パーミッションによって管理している点に着目した.
取得した情報の使用範囲が不明瞭であるという問題は,ここから生じていると考えられる.
この問題に対して,情報フローを用いてプライバシ情報の取得から送信までの一連の流れを監視する新しい制御機構を提案する.
この制御機構によって取得する情報の使用範囲まで制御できる新たなパーミッションが作成可能であることを示す.
また,Androidのマーケットやアプリケーションの現状を踏まえた上で,この制御機構をどのように機能させるべきか考察する.
修士1年時以降
Android広告ライブラリによるユーザ情報漏洩問題に関する解析
<研究概要>
近年,スマートフォンのアプリケーション市場規模は急激に拡大している.
その一因となっているのは,無料アプリケーションの人気である.
これらの無料アプリケーションの開発者は自身のアプリケーションに広告ライブラリを組み込むことによって,対価を得ている.
しかし,近年の研究より,これらの広告ライブラリが抱えるいくつかの問題が明らかになっている.
広告ライブラリが引き起こす代表的な問題として,プライバシ情報の漏洩が知られている.
これは,広告が組み込まれたアプリケーションを使用する際に,ユーザの同意なしに広告がユーザに関する情報を端末外へ送信するという問題である.
こういった問題の背景には,アプリケーション開発者と広告ライブラリ製作者が違うという事実が存在する.
開発者自身が組み込んだ広告の挙動を正確に把握していないため,予期せぬ情報漏洩が引き起こされる.
こういった問題を解決するために,どのような広告モジュールが組み込まれているかを検出,分類する技術は重要である.
本研究では,端末識別番号の取得や広告の画像表示といったAndroidOS向け広告ライブラリの基本動作に着目した.
広告ライブラリがこれらの動作をどのように実装しているか,呼び出されるAPIの種類,頻度等の調査を行った.
それから,動作特徴がログに表れるようAndroidフレームワークを改造することによって,広告ライブラリの特徴を出力し,それらが広告ライブラリの機械的検知に利用できるか解析する.
<活動報告>
○IWSEC2012@福岡県福岡市(国際学会)
運営手伝いとして参加し,会場の運営や受付の補助を行った.
国際学会のため英語での応対がメインになったが,何とか仕事をこなすことが出来た.
また,会議中に開催されたマルウェア解析大会"IWSEC Cup 2012"に櫻井研チームとして参加した.
急遽参加が決まり準備の時間も無かったため結果は芳しくなかったが,国内外の技術者達が用いているツール等の生きた情報が得られて勉強になった.
○SCIS2013@京都府京都市(国内学会)
学部4年時に参加.
初めての対外発表で,且つ会議の規模が大きかったためかなり緊張しながらの発表になった.
自分の専門では無い分野の発表を聞く機会も多く,セキュリティ業界全般の最新動向を知ることができた.
○火の国情報シンポジウム2013@熊本県熊本市(国内学会)
同じく学部4年時に参加.
卒業研究の成果を発表した.
こちらは学生(特に学部4年)の参加がメインの会議だったこともあり,あまり緊張は感じなかった.
その代わり,セキュリティ専門の学会ではなかったため,背景知識を共有していない聴講者に研究の要旨をいかに分かりやすく伝えるかという点に苦心した.
○SecureComm2013+ATIS2013@オーストラリア,シドニー(国際学会)
国際学会での初発表であり,また自身初の海外渡航でもあった.
事前に練習を重ねており,英語が聞き取れない場合も議長の助けを頂いたおかげで,発表自体は問題なく行なうことが出来た.
会議においては,クラウドセキュリティやモバイルセキュリティに関する発表が例年よりも増えており,これらの分野への関心が高まっているのを感じた.
また,現地滞在中は多くの時間を一人で過ごしたが,観光や食事,ホテルの手続きぐらいは何とか英語でこなすことが出来て自信につながった.
オーストラリア名物ということで,カンガルーの肉を食べたことがとても印象に残っている.
○CSS2013@香川県香川市(国内学会)
コンピュータ・セキュリティ分野の動向調査のため参加.
特に興味のあったAndroidセキュリティやプライバシ保護に関する発表を中心に聴講した.
運営から参加者が過去最大数になったと発表され,セキュリティ業界全体への需要の高まりを感じた.
○CSEC63@東京都八王子市(国内学会)
SecureComm&ATISの参加報告を行なうために参加.
国際学会の最新動向を国内の研究者に向けて発表した.
翌日が大学の演習講義における発表担当回だったため,スケジュールがかなり逼迫してしまい,スケジュール管理を怠ったことを反省した.
○WAIS2014@中国,上海市(国際学会)
国際学会での二度目の発表となった.
発表はスムーズに行えたが,質疑応答で英語が聞き取れず上手く対応できない部分があった.
最近英語を使っていなかったことが原因であると考え,これ以降リスニング教材を定期的に聞くよう習慣づけた.
今回は,研究室のメンバー(中国人留学生含む)が揃っていたこともあり,現地での活動で戸惑う場面は殆ど無かった.
中国人スタッフのもてなしが非常に手厚く,食事の度に食べきれない程の料理が運び込まれていたことが印象に残っている.
○SCIS2014@鹿児島県鹿児島市(国内学会)
発表者兼運営手伝いとして参加.
2013年度のSCISで発表した際は規模の大きさからかなり緊張してしまったが,今回はそれほど緊張することもなく発表できて自分が場数を踏んだことを実感できた.
質疑応答ではAndroidの広告に関する最新情報について意見を頂くことができ非常に参考になった.
また,国内最大規模のセキュリティ学会であるSCISの運営手伝いをすることで,普段知ることのできない裏方の苦労や連携を知ることができた.
戻る