2024年度未踏IT人材発掘・育成事業「スーパークリエータ」
SUPER CREATOR
九鬼 琉 くき りゅう
所属:横浜国立大学 大学院環境情報学府 / 株式会社オプシス 代表取締役社長
-
略歴
2000年9月 千葉県生まれ
2019年3月 麻布高等学校 卒業
2021年4月 横浜国立大学 理工学部 数物・電子情報系学科 入学
2021年9月 株式会社オプシス 設立
2025年3月 横浜国立大学 理工学部 数物・電子情報系学科 卒業
2025年4月 横浜国立大学 大学院環境情報学府 入学 -
受賞歴
2024年10月 コンピュータセキュリティシンポジウム2024 学生論文賞 受賞
2024年11月 総務省 全国型CTFコンテスト 東京会場1位
2025年3月 横浜国立大学 令和6年度理工学部長表彰
-
担当プロジェクトマネージャー
田中 邦裕
開発テーマ名
ゼロデイ攻撃の対象となるIoT機器を早期特定するシステムの開発
概要
本プロジェクトでは、事前にIoT機器のファームウェアを大規模に収集・解析し、ハニーポットなどのサイバー攻撃観測網で検知された未知のゼロデイ攻撃と照合することにより、攻撃の標的となっている機器を早期に特定するシステムを開発した。
開発成果の主な特徴として、ファームウェアを大規模(17万件以上)に収集したことにより、幅広いIoT機器を標的とした攻撃に対応することができる点、ファームウェアの静的解析と動的解析を併用することにより、攻撃対象機器の特定速度やカバレッジを大幅に向上させた点などが挙げられる。
本システムを活用することで、未知のゼロデイ攻撃の対象機器を特定し、その情報を当該IoT機器のベンダーや開発者に迅速に報告することが可能になる。これにより、脆弱性を修正するためのファームウェアアップデートやセキュリティパッチの早期提供に貢献することができる。
図1: システムの全体像と攻撃対応フロー
-
2024年度 未踏IT人材発掘・育成事業 成果報告会(MITOU2024 Demo Day)動画
PMの評価
IoTセキュリティという高度な領域において、極めて挑戦的なプロジェクトに取り組み、最後までやり遂げた。その姿勢は、まさに未踏の理念にふさわしく、技術的な難易度の高い課題に果敢に挑み、確かな成果を残した。特に、ゼロデイ攻撃の標的となるIoT機器を特定するというアプローチは、既存のセキュリティ対策の枠を超え、攻撃そのものを予測するという新しい発想に基づいていた。この手法を実現するために、ファームウェアをウェブ上からスクレイピングして収集するとともに、それらを解析してデータベース化するとともに、仮想環境での動的解析といった高度な技術を組み合わせ、実際にプロジェクト期間中に4件のゼロデイ攻撃対象機器を特定し、関係機関への報告まで行った。このように、理論だけでなく、実際に動作する仕組みを作り上げたことが、何よりも素晴らしいと感じた。未踏的な挑戦を形にし、その成果を実社会へとつなげた取り組みは、大いに評価に値する。
