◎池上祐太・山内利宏（岡山大）

標的型攻撃でルートキットを使用する事例が増加しているため，ルートキットの早期検知が重要である．しかし，既存の検知手法は，ルートキットを早期に検知できるものが少なく，カーネルの拡張性を制限する問題がある．そこで，ルートキットに感染前と感染後のカーネルスタックの情報の比較により，ルートキットを検知するシステムを提案する．提案システムでは，ルートキットに改ざんされる可能性の高いシステムコールの発行後に呼び出されるカーネル関数の呼び出し前に，処理をフックし，その時点のカーネルスタックの情報をホワイトリストと比較する．これにより，早期の検知と正規のプログラムの誤検知の防止を実現する．