情報コースの学生が「CSEC112優秀学生研究賞」を受賞しました
香川大学 情報化推進統合拠点(編集部)香川大学 創造工学部 情報コース(橋本正樹研究室)蓮井宏規さん
(共著者:松ヶ谷新吾、嶋村誠(トレンドマイクロ株式会社)、橋本正樹(香川大学))
「IoTマルウェア向け疑似C2サーバ自動生成システムの開発」
2026年3月17日(火)〜18日(水)に神奈川工科大学(厚木キャンパス)およびオンラインで開催された「第206回マルチメディア通信と分散処理・第112回コンピュータセキュリティ合同研究発表会(DPS-206 / CSEC-112)」にて、情報コース(橋本正樹研究室)の蓮井宏規さんが「CSEC112優秀学生研究賞」を受賞しました。
本賞は、CSEC研究会における学生発表のうち、将来性のある学生を奨励する目的で約20%が選定されるものであり、第112回研究発表会では8件が選出されました。
受賞研究の概要
本研究は、活動を停止したC2(指令制御)サーバに依存せずIoTマルウェアの動的解析を可能とする「疑似C2サーバ自動生成システム」を提案したものです。リバースエンジニアリングツールGhidraと大規模言語モデル(LLM)をModel Context Protocol(MCP)経由で連携させることで、シンボル情報を持たないバイナリからでも、接続パラメータ・パケット構造・攻撃コマンド体系といった通信仕様を論理的に抽出し、マルウェアと実際に通信可能な疑似C2サーバ(Pythonスクリプト)を自動的に生成します。代表的なIoTマルウェアMiraiを対象とした実証実験では、XOR暗号化されたC2のIPアドレスやマジックナンバー、全10種類の攻撃ベクトルIDを正確に抽出することに成功しました。特に、ソースコード上で欠番となっているID(0x08)について、LLMがswitch-case文の制御構造を意味論的に解釈してハルシネーションなく「該当分岐が存在しない」事実を判定できた点は、本手法が単純なキーワード抽出を超えた論理的解析能力を備えていることを示すものです。さらに、自動生成された疑似C2サーバから攻撃指令を送出することで、隔離環境下でSYN Flood、UDP VSE Flood、GRE IP/Ethernet Flood等の多様なDDoS攻撃をオリジナルC2と同等の挙動で誘発させることに成功しました。本成果は、攻撃インフラが短命化する現代の脅威環境下において、外部サーバに依存しない自律的な動的解析基盤を実現するものとして高く評価されました。
