WO2022195739A1 - 活動痕跡抽出装置、活動痕跡抽出方法および活動痕跡抽出プログラム - Google Patents

活動痕跡抽出装置、活動痕跡抽出方法および活動痕跡抽出プログラム Download PDF

Info

Publication number
WO2022195739A1
WO2022195739A1 PCT/JP2021/010706 JP2021010706W WO2022195739A1 WO 2022195739 A1 WO2022195739 A1 WO 2022195739A1 JP 2021010706 W JP2021010706 W JP 2021010706W WO 2022195739 A1 WO2022195739 A1 WO 2022195739A1
Authority
WO
WIPO (PCT)
Prior art keywords
malware
activity
unit
activity trace
trace
Prior art date
Application number
PCT/JP2021/010706
Other languages
English (en)
French (fr)
Inventor
利宣 碓井
知範 幾世
裕平 川古谷
誠 岩村
潤 三好
Original Assignee
日本電信電話株式会社
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 日本電信電話株式会社 filed Critical 日本電信電話株式会社
Priority to PCT/JP2021/010706 priority Critical patent/WO2022195739A1/ja
Priority to JP2023506461A priority patent/JPWO2022195739A1/ja
Publication of WO2022195739A1 publication Critical patent/WO2022195739A1/ja

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements

Abstract

活動痕跡抽出装置(100)は、マルウェアの挙動に関する情報を取得する取得部(151)と、取得部(151)によって取得されたマルウェアの挙動に関する情報に基づいて、マルウェアの活動痕跡を検出する検出部(152)と、マルウェアに対してテイント解析を実行し、マルウェアが所定のAPI(Application Programming Interface)を呼び出す場合には、APIの出力値にテイント解析に基づくテイントタグを付与する付与部(153)と、付与部(153)によって付与されたテイントタグに基づいて、活動痕跡の依存性の有無を判定する判定部(154)と、判定部(154)によって活動痕跡の依存性がないと判定された場合には、活動痕跡をマルウェアを検知するために有効な活動痕跡として抽出する抽出部(155)とを備える。

Description

活動痕跡抽出装置、活動痕跡抽出方法および活動痕跡抽出プログラム
 本発明は、活動痕跡抽出装置、活動痕跡抽出方法および活動痕跡抽出プログラムに関する。
 近年、マルウェアの巧妙化に伴い、シグネチャに基づいて検出する従来型のアンチウイルスソフトウェアでは検出の難しいマルウェアが増加してきている。また、送受信されたファイルを隔離された解析用の環境で動作させ、観測された挙動の悪性度からマルウェアを検出する動的解析サンドボックスによる検出も存在するが、一般的なユーザ環境との乖離度を見る方法等により、解析用の環境であることが感知され、回避されるようになってきた。
 このような背景から、EDR(Endpoint Detection and Response)と呼ばれるマルウェア対策技術が用いられるようになってきた。EDRでは、解析用に用意した環境ではなく、ユーザの端末にインストールされるエージェントを用いて、端末の挙動を継続的に監視する。そして、あらかじめ用意された、マルウェアが活動した際に残す痕跡を検出するためのいわば挙動のシグネチャである痕跡情報(IOC:Indicator of Compromise)を用いて、マルウェアを検出する。具体的には、EDRは、端末で観測された挙動とIOCを照合し、一致する場合はマルウェアに感染した疑いがあるとして検出する。
 したがって、EDRによるマルウェアの検出の可否は、あるマルウェアの検出に有用なIOCが保持されているかに依存する。一方、IOCがマルウェアのみならず正規のソフトウェアの活動の痕跡にも一致してしまうような場合には、誤検知に繋がるという問題がある。それゆえに、ただ闇雲にマルウェアの痕跡をIOCにして数を増やすのではなく、検出に有用な痕跡を選択的に抽出してIOCにしていく必要がある。
 また、EDRが一度に照合できるIOCの観点からも、検出に有用な痕跡を選択的に抽出してIOCにしていく必要が生じる。すなわち、EDRは一般に多くのIOCを持つほど照合に時間がかかるため、より少ない数のIOCでより多くの種類のマルウェアを検出するIOCの組み合わせを持つことが望ましい。その際に、検出に有用でない活動痕跡からIOCを生成してしまうと、無用に照合の時間をかけてしまうことに繋がる。
 現在では、日々新しいマルウェアが生み出されており、それに対応したIOCも変化し続ける。そのため、それらに対して継続的に対応するためには、マルウェアを自動的に解析して活動の痕跡を抽出し、IOCを生成していく必要がある。IOCは、マルウェアを解析して得られた活動痕跡に基づいて生成される。一般に、マルウェアの挙動を監視しながら実行して得られた痕跡を収集し、それに正規化を施したり、検知に適した組み合わせ選択したりすることで、IOCとする。以上から、マルウェアの検出に有用な活動痕跡を、選択的かつ自動的に抽出する技術が希求される。
 例えば、非特許文献1では、複数のマルウェア間で繰り返し観測される痕跡のパターンを抽出し、IOCとして用いる手法を提案している。また、非特許文献2では、同一ファミリーのマルウェア間で共起する痕跡の集合を抽出し、集合の最適化手法によってIOCの複雑度が高まるのを防ぐことで、人間が理解しやすいIOCを自動で生成する手法を提案している。これらの手法によれば、実行トレースログからマルウェアの検出に貢献し得るIOCを自動的に抽出することが可能である。
 ここで、実行トレースとは、実行時に様々な観点からの挙動を順に記録していくことで、プログラムの実行状況を追跡するものである。また、これを実現するために、挙動を監視して記録する機能を備えたプログラムを、トレーサと呼ぶ。たとえば、実行されたAPI(Application Programming Interface)を順に記録したものをAPIトレースと呼び、それを実現するためのプログラムをAPIトレーサと呼ぶ。
Christian Doll et al. "Automated Pattern Inference Based on Repeatedly Observed Malware Artifacts." Proceedings of the 14th International Conference on Availability, Reliability and Security. 2019. Yuma Kurogome et al. "EIGER: Automated IOC Generation for Accurate and Interpretable Endpoint Malware Detection." Proceedings of the 35th Annual Computer Security Applications Conference. 2019.
 しかしながら、上述した従来技術では、マルウェアの活動痕跡の時間依存性や環境依存性を考慮しておらず、マルウェアの検出に有効でない活動痕跡もIOCにしてしまい得るという問題があった。
 ここで、活動痕跡の時間依存性とは、マルウェアの実行時の時間的情報に依存して活動痕跡が変化する特性である。時間的情報には、時刻や起動時からの経過時間等がある。時間依存性のある活動痕跡は、収集した解析環境と実際に攻撃を受けた環境での時間的情報が一般に異なることにより、IOCとして利用できない。
 また、活動痕跡の環境依存性とは、マルウェアの実行時の環境的情報に依存して活動痕跡が変化する特性である。環境的情報には、システムやデバイスの持つ様々な設定情報が含まれる。例えば、システムディスクのUUID(Universally Unique Identifier:汎用一意識別子)に基づいて活動痕跡を変化させる場合等が考えられる。環境依存性のある活動痕跡も、収集した解析環境と実際に攻撃を受けた環境での環境的情報の差異から、IOCとして利用できない。
 以上から、収集されたマルウェアの活動痕跡に時間依存性や環境依存性があるか否かを判定することは、マルウェアの検出に有効な活動痕跡を選択的に抽出してIOCを生成する上で重要である。
 上述した課題を解決し、目的を達成するために、本発明に係る活動痕跡抽出装置は、マルウェアの挙動に関する情報を取得する取得部と、前記取得部によって取得された前記情報に基づいて、前記マルウェアの活動痕跡を検出する検出部と、前記マルウェアに対してテイント解析を実行し、前記マルウェアが所定のAPIを呼び出す場合には、該APIの出力値に該テイント解析に基づくテイントタグを付与する付与部と、前記付与部によって付与された前記テイントタグに基づいて、前記活動痕跡の依存性の有無を判定する判定部と、前記判定部によって前記依存性がないと判定された場合には、前記活動痕跡を前記マルウェアを検知するために有効な活動痕跡として抽出する抽出部とを備えることを特徴とする。
 また、本発明に係る活動痕跡抽出方法は、活動痕跡抽出装置によって実行される活動痕跡抽出方法であって、マルウェアの挙動に関する情報を取得する取得工程と、前記取得工程によって取得された前記情報に基づいて、前記マルウェアの活動痕跡を検出する検出工程と、前記マルウェアに対してテイント解析を実行し、前記マルウェアが所定のAPIを呼び出す場合には、該APIの出力値に該テイント解析に基づくテイントタグを付与する付与工程と、前記付与工程によって付与された前記テイントタグに基づいて、前記活動痕跡の依存性の有無を判定する判定工程と、前記判定工程によって前記依存性がないと判定された場合には、前記活動痕跡を前記マルウェアを検知するために有効な活動痕跡として抽出する抽出工程とを含むことを特徴とする。
 また、本発明に係る活動痕跡抽出プログラムは、マルウェアの挙動に関する情報を取得する取得ステップと、前記取得ステップによって取得された前記情報に基づいて、前記マルウェアの活動痕跡を検出する検出ステップと、前記マルウェアに対してテイント解析を実行し、前記マルウェアが所定のAPIを呼び出す場合には、該APIの出力値に該テイント解析に基づくテイントタグを付与する付与ステップと、前記付与ステップによって付与された前記テイントタグに基づいて、前記活動痕跡の依存性の有無を判定する判定ステップと、前記判定ステップによって前記依存性がないと判定された場合には、前記活動痕跡を前記マルウェアを検知するために有効な活動痕跡として抽出する抽出ステップとをコンピュータに実行させることを特徴とする。
 本発明では、マルウェアのデータフローの追跡に基づいて活動痕跡の依存性の有無を精緻に検出し、依存性がなくマルウェアの検知に有効な活動痕跡を選択的に抽出できる。
図1は、第1の実施形態に係る活動痕跡抽出システムの構成例を示す図である。 図2は、第1の実施形態に係る活動痕跡抽出装置の構成例を示すブロック図である。 図3は、第1の実施形態に係るAPIトレースと活動痕跡の一例を示す図である。 図4は、第1の実施形態に係る時間依存性のある活動痕跡の一例を示す図である。 図5は、第1の実施形態に係る環境依存性のある活動痕跡の一例を示す図である。 図6は、第1の実施形態に係るテイントタグによる依存性のある活動痕跡の検出の一例を示す図である。 図7は、第1の実施形態に係る処理全体の流れの一例を示すフローチャートである。 図8は、第1の実施形態に係るテイント解析処理の流れの一例を示すフローチャートである。 図9は、第1の実施形態に係る依存性判定処理の流れの一例を示すフローチャートである。 図10は、第1の実施形態に係る活動痕跡抽出処理の流れの一例を示すフローチャートである。 図11は、プログラムを実行するコンピュータを示す図である。
 以下に、本発明に係る活動痕跡抽出装置、活動痕跡抽出方法および活動痕跡抽出プログラムの実施形態を図面に基づいて詳細に説明する。なお、本発明は、以下に説明する実施形態により限定されるものではない。
〔第1の実施形態〕
 以下に、本実施形態に係る活動痕跡抽出システムの構成、活動痕跡抽出装置の構成、各種情報の具体例、処理全体の流れ、テイント解析処理の流れ、依存性判定処理の流れ、活動痕跡抽出処理の流れを順に説明し、最後に本実施形態の効果を説明する。
[活動痕跡抽出システムの構成]
 図1を用いて、本実施形態に係る活動痕跡抽出システム(適宜、本システム)1の構成を詳細に説明する。図1は、第1の実施形態に係る活動痕跡抽出システムの構成例を示す図である。本システム1は、活動痕跡抽出装置100、各種端末等のユーザ端末20(20A、20B、20C)、SOC(Security Operation Center)やCSIRT(Computer Security Incident Response Team)等のセキュリティ対策組織30(30A、30B、30C)およびAPIリストデータベース40を有する。ここで、活動痕跡抽出装置100とユーザ端末20とセキュリティ対策組織30とAPIリストデータベース40とは、図示しない所定の通信網を介して、有線または無線により通信可能に接続される。なお、図1に示した活動痕跡抽出システム1には、複数台の活動痕跡抽出装置100や、複数台のAPIリストデータベース40が含まれてもよい。
 まず、活動痕跡抽出装置100は、ユーザ端末20からマルウェアの入力を受け付ける(ステップS1)。ここで、ユーザ端末20は、一般的なネットワーク等の利用者が所有するPC(Personal Computer)、スマートフォン、タブレット端末等であるが、特に限定されない。ユーザ端末20は、マルウェアの情報を収集する専用の機器であってもよい。
 次に、活動痕跡抽出装置100は、入力を受け付けたマルウェアを実行し、マルウェアの挙動を解析する(ステップS2)。このとき、活動痕跡抽出装置100は、当該マルウェアの活動痕跡を得るための情報源を取得する。具体的には、活動痕跡抽出装置100は、当該マルウェアの挙動に関する情報(適宜、「挙動情報」)を取得する。活動痕跡抽出装置100による詳細な挙動情報取得処理については、[処理全体の流れ]にて後述する。
 続いて、活動痕跡抽出装置100は、得られた挙動情報からマルウェアの活動痕跡を発見する(ステップS3)。このとき、活動痕跡抽出装置100は、マルウェアの活動痕跡の依存性の有無を考慮しない活動痕跡を得る。活動痕跡抽出装置100による詳細な活動痕跡発見処理(適宜、「活動痕跡検出処理」)については、[処理全体の流れ]にて後述する。
 一方、活動痕跡抽出装置100は、APIリストデータベース40からAPIリストを受け取る(ステップS4)。ここで、活動痕跡抽出装置100が受け取るAPIリストに記載されたAPIは、システム情報や時刻情報、デバイス情報等を取得するAPIであるが、特に限定されず、アプリケーションに固有の情報を取得するAPIであってもよい。
 また、活動痕跡抽出装置100は、入力を受け付けたマルウェアを実行し、テイント解析を行う(ステップS5)。このとき、活動痕跡抽出装置100は、上記のAPIリストに記載のAPIの出力値にテイントタグを付与するようにテイント解析エンジンを設定し、当該テイント解析エンジン上で上記マルウェアを実行し、データフローにあわせて、テイントタグを伝播させていく。活動痕跡抽出装置100による詳細なテイント解析処理については、[テイント解析処理の流れ]にて後述する。
 さらに、活動痕跡抽出装置100は、上記のテイントタグの有無から、マルウェアの活動痕跡の依存性の有無を判定する(ステップS6)。このとき、活動痕跡抽出装置100は、上述した活動痕跡検出処理で検出した活動痕跡を取得し、当該活動痕跡に対応する、テイント解析処理で得られた活動痕跡にテイントタグが付与されているか否かを確認する。そして、活動痕跡抽出装置100は、上記のテイントタグが付与されている活動痕跡は依存性があると判定し、上記のテイントタグが付与されていない活動痕跡は依存性がないと判定する。活動痕跡抽出装置100による詳細な依存性判定処理については、[依存性判定処理の流れ]にて後述する。
 最後に、活動痕跡抽出装置100は、依存性のない活動痕跡から痕跡情報(IOC)を生成し、生成したIOCをセキュリティ対策組織30に送信する。活動痕跡抽出装置100がIOCを送信する端末等は、特に限定されない。
 本実施形態に係る活動痕跡抽出システム1では、マルウェアを解析して挙動情報を取得して、取得した挙動情報からマルウェアの活動痕跡を発見し、テイントタグの付与と伝播によってデータフローを追跡し、活動痕跡とそのテイントタグに基づいて活動痕跡の依存性を判定し、依存性のない活動痕跡のみを選択的に抽出する。このため、本システム1では、データフローの追跡に基づいて活動痕跡の依存性の有無を精緻に検出し、依存性がなくマルウェアの検知に有効な活動痕跡を選択的に抽出できる。また、本システム1では、有効なIOCの生成に貢献できる。
[活動痕跡抽出装置の構成]
 図2を用いて、本実施形態に係る活動痕跡抽出装置100の構成を詳細に説明する。図2は、本実施形態に係る活動痕跡抽出装置の構成例を示すブロック図である。活動痕跡抽出装置100は、入力部110、入力部120、通信部130、記憶部140および制御部150を有する。
 入力部110は、当該活動痕跡抽出装置100への各種情報の入力を司る。入力部110は、例えば、マウスやキーボード等であり、当該活動痕跡抽出装置100への設定情報等の入力を受け付ける。また、出力部120は、当該活動痕跡抽出装置100からの各種情報の出力を司る。出力部120は、例えば、ディスプレイ等であり、当該活動痕跡抽出装置100に記憶された設定情報等を出力する。
 通信部130は、他の装置との間でのデータ通信を司る。例えば、通信部130は、各通信装置との間でデータ通信を行う。また、通信部130は、図示しないオペレータの端末との間でデータ通信を行うことができる。
 記憶部140は、制御部150が動作する際に参照する各種情報や、制御部150が動作した際に取得した各種情報を記憶する。記憶部140は、活動痕跡記憶部141およびタグマップ記憶部142を有する。ここで、記憶部140は、例えば、RAM(Random Access Memory)、フラッシュメモリ等の半導体メモリ素子、または、ハードディスク、光ディスク等の記憶装置等である。なお、図2の例では、記憶部140は、活動痕跡抽出装置100の内部に設置されているが、活動痕跡抽出装置100の外部に設置されてもよいし、複数の記憶部が設置されていてもよい。
 活動痕跡記憶部141は、制御部150の検出部152が検出したマルウェアの活動痕跡を記憶する。例えば、活動痕跡記憶部141は、ファイルやレジストリの操作、プロセス生成や通信を通じて生成されたマルウェア由来の特定のファイル等を記憶する。また、タグマップ記憶部142は、制御部150の付与部153の処理によって生成されたタグマップを記憶する。例えば、タグマップ記憶部142は、テイント解析によってテイントタグを付与されたファイルやメモリ、関連するマルウェアやAPIの情報等を記憶する。
 制御部150は、当該活動痕跡抽出装置100全体の制御を司る。制御部150は、取得部151、検出部152、付与部153、判定部154、抽出部155および生成部156を有する。ここで、制御部150は、例えば、CPU(Central Processing Unit)やMPU(Micro Processing Unit)等の電子回路やASIC(Application Specific Integrated Circuit)やFPGA(Field Programmable Gate Array)等の集積回路である。
 取得部151は、マルウェアの挙動に関する情報を取得する。例えば、取得部151は、ネットワーク通信、ファイル操作、レジストリ操作またはプロセス生成に関与するAPIトレースを取得する。また、取得部151は、隔離環境でAPIトレーサを用いてマルウェアを実行し、APIトレースを取得する動的解析を行ってもよい。取得部151がマルウェアの挙動に関する情報を取得するための処理は、特に限定されない。取得部151は、マルウェアを実行する動的解析ではなく、マルウェアを実行しない静的解析を用いてもよい。一方、取得部151は、取得したマルウェアの挙動に関する情報を記憶部140に格納してもよい。
 検出部152は、取得部151によって取得されたマルウェアの挙動に関する情報に基づいて、マルウェアの活動痕跡を検出する。例えば、検出部152は、マルウェアの活動時に痕跡が残りやすい部分をあらかじめ列挙しておき、列挙した部分に現れた痕跡を当該マルウェアの活動痕跡として検出する。また、検出部152は、痕跡が残りやすい部分として、ネットワーク通信、ファイル操作、レジストリ操作またはプロセス生成に関与するAPIトレースから、マルウェアの活動痕跡を検出する。一方、検出部152は、検出したマルウェアの活動痕跡を活動痕跡記憶部141に格納する。
 付与部153は、マルウェアに対してテイント解析を実行し、マルウェアが所定のAPIを呼び出す場合には、付与部153によって実行されたテイント解析に基づく、所定のAPIの出力値にテイントタグを付与する。例えば、付与部153は、マルウェアがシステム情報、時刻情報、デバイス情報、またはアプリケーションに固有の情報を取得するAPI(適宜、「システム情報取得API」)を呼び出す場合には、APIの出力値にテイントタグを付与する。また、付与部153は、テイント解析エンジン上でマルウェアを実行し、APIリストに記載されたAPIの出力値にテイントタグを付与し、テイント解析エンジンによってデータフローにあわせてテイントタグを伝播させ、伝播によってテイントタグが付与された箇所を記録したタグマップを生成する。
 一方、付与部153は、タグマップをタグマップ記憶部142に格納する。なお、付与部153による詳細なテイント解析処理については、[テイント解析処理の流れ]にて後述する。
 判定部154は、付与部153によって付与されたテイントタグに基づいて、検出部152によって検出された活動痕跡の依存性の有無を判定する。例えば、判定部154は、検出部152によって検出された活動痕跡の時間依存性または環境依存性の有無を判定する。また、判定部154は、検出部152によって検出された活動痕跡に対応するAPIの引数にテイントタグが付与されている場合には、活動痕跡は依存性があると判定する。一方、判定部154は、タグマップ記憶部142からテイントタグを付与した活動痕跡を含むタグマップを取得する。また、判定部154は、活動痕跡記憶部141から活動痕跡を取得してもよい。なお、判定部154による詳細な依存性判定処理については、[依存性判定処理の流れ]にて後述する。
 抽出部155は、判定部154によって活動痕跡の依存性がないと判定された場合には、活動痕跡をマルウェアを検知するために有効な活動痕跡として抽出する。例えば、抽出部155は、判定部154によって依存性があると判定された活動痕跡を除外し、依存性がないと判定された活動痕跡のみを有効な活動痕跡として抽出する。一方、抽出部155は、活動痕跡記憶部141から活動痕跡を取得する。なお、抽出部155による詳細な活動痕跡抽出処理については、[活動痕跡抽出処理の流れ]にて後述する。
 生成部156は、抽出部155によって抽出されたマルウェアを検知するために有効な活動痕跡から、マルウェアの痕跡情報を生成する。例えば、生成部156は、活動痕跡として検出された共通の文字列を含むファイル名を検知するために、共通の文字列以外の文字列を任意の文字列を表わす記号で置き換えた痕跡情報を生成する。
[各種情報の具体例]
 図3~図6を用いて、本実施形態に係る各種情報の具体例を詳細に説明する。図3は、第1の実施形態に係るAPIトレースと活動痕跡の一例を示す図である。図4は、第1の実施形態に係る時間依存性のある活動痕跡の一例を示す図である。図5は、第1の実施形態に係る環境依存性のある活動痕跡の一例を示す図である。図6は、第1の実施形態に係るテイントタグによる依存性のある活動痕跡の検出の一例を示す図である。
 図3を用いて、APIトレースと活動痕跡の一例を説明する。図3において、領域10aに含まれる「prev」は、APIの実行前を示し、「post」は、APIの実行後を示す。領域10bに含まれる「IN」は、入力を示し、「OUT」は、出力を示す。領域10cに含まれる文字列は、DLL名を示す。領域10dに含まれる文字列は、API名を示す。領域10eに含まれる文字列は、型を示す。領域10fに含まれる文字列は、変数名に対応する。領域10gに含まれる文字列、数値は、引数に対応する。領域10hに含まれる「val」は、ポインタをディリファレンスした値を記録していることを示す。領域10iには、活動痕跡が含まれる。図3に示す例では、CreateProcessのlpCommandLine引数が、このマルウェアにおける、プロセスに関する活動痕跡であることが示される。
 図4を用いて、時間依存性のある活動痕跡の一例を説明する。図4において、「GetLocalTime」は、時間情報(時刻情報)を取得するシステムAPIであり、システム時刻の時間情報である。「GetLocalTime」の出力値である、システム時刻を格納した「lpSystemTime」とプロセス名の活動痕跡との間にデータの依存関係がある場合を想定している。すなわち、「lpSystemTime」の値をもとにして、プロセス名を決定しているものとする。例えば、APIトレース11aのシステム時刻と、APIトレース11bのシステム時刻との差異がある場合、それに合わせて活動痕跡も異なる。これが、時間依存性である。
 図5を用いて、環境依存性のある活動痕跡の一例を説明する。図5において、「GetVolumeInformationA」は、システムAPIであり、ボリュームに関する環境情報を取得している。「GetVolumeInformationA」の出力値である、ボリュームのシリアル番号を格納したlpVolumeSerialNumberと、プロセス名の活動痕跡との間にデータの依存関係がある場合を想定している。すなわち、ボリュームのシリアル番号の値をもとにして、プロセス名を決定しているものとする。例えば、APIトレース12aのシリアル番号と、APIトレース12bのシリアル番号との差異がある場合、それに合わせて活動痕跡も異なる。これが、環境依存性である。
 図6を用いて、テイントタグによる依存性のある活動痕跡の検出の一例を説明する。図6において、活動痕跡抽出装置100は、時刻情報やシステム情報などを取得するAPIの出力値に、テイントタグを付与する。次に、活動痕跡抽出装置100は、テイント解析を実行し、データフローにあわせてテイントタグを伝播させていく。ここで、前述のAPIの出力値と活動痕跡との間にデータの依存関係があれば、13bのように、テイントタグが活動痕跡まで伝播していく。一方、データの依存関係がなければ、13aのように、テイントタグは活動痕跡までは伝播しない。そして、活動痕跡抽出装置100は、活動痕跡に対応した箇所をタグマップを参照して確認し、テイントタグが付いていれば依存性があると判定し、テイントタグが付いていなければ依存性なしと判定する。
[処理全体の流れ]
 図7を用いて、本実施形態に係る処理全体の流れを詳細に説明する。図7は、第1の実施形態に係る処理全体の流れの一例を示すフローチャートである。
 まず、活動痕跡抽出装置100の取得部151は、ユーザ端末20から、痕跡情報(IOC)を生成する対象となるマルウェアの入力を受け付ける(ステップS101)。このとき、取得部151は、ユーザ端末20以外の機器からマルウェアの情報を取得してもよい。また、取得部151は、入力部110を介して直接入力されたマルウェアの情報を取得してもよい。
(挙動情報取得処理)
 取得部151は、マルウェアの挙動を解析し、活動痕跡を得るための情報源である挙動情報を取得する(ステップS102)。このとき、取得部151は、マルウェアを隔離環境で監視しながら実行することで、挙動を解析する。例えば、取得部151は、マルウェアのAPI呼び出しを監視して、APIトレースを取得する。また、取得部151は、ファイルやレジストリ、通信等を監視する。すなわち、取得部151は、API呼び出しの監視、もしくはファイルやレジストリ、通信等の監視のいずれかの監視により、マルウェアの挙動情報を取得する。なお、取得部151がマルウェアの挙動情報を取得するための処理は、特に限定されない。また、取得部151が取得するマルウェアの挙動情報は、APIトレースでもよいし、ファイルやレジストリ、通信等の監視によって得られた情報であってもよく、特に限定されない。
(活動痕跡検出処理)
 検出部152は、取得部151からマルウェアの挙動情報を取得する。このとき、検出部152は、取得部151以外の機器からマルウェアの挙動情報を取得してもよい。また、検出部152は、入力部110を介して直接入力されたマルウェアの挙動情報を取得してもよい。
 また、検出部152は、取得したマルウェアの挙動情報から、マルウェアの活動痕跡を検出する(ステップS103)。例えば、検出部152は、マルウェアの活動時に痕跡が残りやすい部分(例:ネットワーク通信、ファイル操作、レジストリ操作またはプロセス生成に関与するAPI呼び出しの引数)をあらかじめ列挙しておき、列挙した部分に現れた痕跡を当該マルウェアの活動痕跡として検出する。なお、検出部152がマルウェアの活動痕跡を検出するための処理は、特に限定されない。
(テイント解析処理)
 付与部153は、マルウェアに対してテイント解析を実行する(ステップS104)。ここで、テイント解析とは、属性情報を表わすテイントタグの付与と伝播によってデータフローを追跡する手法である。例えば、付与部153は、テイント解析エンジン上でマルウェアを実行する。このとき、付与部153は、システム情報等を取得するAPIの出力値にテイントタグを付与する。具体的には、システム情報等を取得するAPIとその出力箇所はあらかじめ列挙しておき、APIリストとして受け取る。テイント解析実行中、付与されたテイントタグは、テイント解析エンジンの処理によってデータフローにあわせて伝播していく。
 一方、付与部153は、伝播によってテイントタグが付与された箇所を記録したタグマップをタグマップ記憶部142に格納する。格納されたタグマップは、後述の依存性判定処理において、活動痕跡がシステム情報等に依存しているかを判定するために用いられる。なお、付与部153による詳細なテイント解析処理については、[テイント解析処理の流れ]にて後述する。
 このとき、付与部153は、テイントタグの付与、伝播が見られた場合(ステップS105:Yes)、ステップS106の依存性判定処理へ移行する。一方、付与部153は、テイントタグの付与、伝播が見られない場合(ステップS105:No)、ステップS108へ移行する。
(依存性判定処理)
 判定部154は、ステップS103で検出された活動痕跡と、ステップS104で付与されたテイントタグとに基づいて、マルウェアの活動痕跡の依存性の有無を判定する(ステップS106)。なお、判定部154による詳細な依存性判定処理については、[依存性判定処理の流れ]にて後述する。
(活動痕跡抽出処理)
 抽出部155は、ステップS106で判定された活動痕跡の依存性の有無に基づいて、ステップS103で検出された活動痕跡から、依存性のない活動痕跡のみを選択的に抽出する(ステップS107)。なお、抽出部155による詳細な活動痕跡抽出処理については、[活動痕跡抽出処理の流れ]にて後述する。
 最後に、生成部156は、ステップS107で抽出された活動痕跡から、マルウェア検知に有効なIOCを生成し(ステップS108)、処理を終了する。このとき、生成部156は、出力部120を介して生成したIOCを出力してもよい。また、生成部156は、通信部130を介して生成したIOCをセキュリティ対策組織30に送信してもよい。
[テイント解析処理の流れ]
 図8を用いて、本実施形態に係るテイント解析処理の流れを詳細に説明する。図8は、第1の実施形態に係るテイント解析処理の流れの一例を示すフローチャートである。まず、活動痕跡抽出装置100の取得部151は、痕跡情報(IOC)を生成する対象のマルウェアの入力を受け付ける(ステップS201)。
 次に、付与部153は、APIリストデータベース40から、システム情報取得APIのAPIリストを取得する(ステップS202)。このとき、付与部153は、APIリストデータベース40以外からAPIリストを取得してもよい。また、付与部153は、入力部110を介して直接入力されたAPIリストを取得してもよい。
 また、付与部153は、APIリストに記載のAPIの出力値にテイントタグを付与するようにテイント解析エンジンを設定する(ステップS203)。そして、付与部153は、ステップS201で入力を受け付けたマルウェアを、ステップS203で設定したテイント解析エンジン上で実行する(ステップS204)。このとき、付与部153は、APIリストに記載のAPIの出力値にはテイントタグを付与し、またデータフローにあわせて伝播させていく。
 最後に、付与部153は、テイントタグの伝播が見られた場合(ステップS205:Yes)、その伝播先を含むタグマップをタグマップ記憶部142に格納する(ステップS206)。一方、付与部153は、テイントタグの伝播が見られなかった場合(ステップS205:No)、すなわち、APIの出力値からのデータフローが存在しなかった場合、処理を終了する。上述の処理により、システム情報等を取得するAPIの出力値にテイントタグを付与することによって、当該出力値からのデータの流れを追跡し、当該タグが付与された活動痕跡は依存性があるものと判断することができる。
[依存性判定処理の流れ]
 図9を用いて、本実施形態に係る依存性判定処理の流れを詳細に説明する。図9は、第1の実施形態に係る依存性判定処理の流れの一例を示すフローチャートである。まず、活動痕跡抽出装置100の判定部154は、タグマップ記憶部142からタグマップを取得する(ステップS301)。また、判定部154は、検出部152によって検出されたマルウェアの活動痕跡を1つ取得する(ステップS302)。なお、ステップS301とステップS302の処理は同時に行われてもよい。また、ステップS302の処理がステップS301の処理より先に行われてもよい。
 次に、判定部154は、ステップS302で取得したタグマップ上で、ステップS301で取得した活動痕跡に対応する部分のテイントタグを確認する(ステップS303)。このとき、判定部154は、当該対応する部分、すなわち対応する活動痕跡にテイントタグが付いていた場合(ステップS304:Yes)、活動痕跡の依存性があると判定し(ステップS305)、処理を終了する。一方、判定部154は、テイントタグが付いていなかった場合(ステップS304:No)、活動痕跡の依存性がないと判定し(ステップS306)、処理を終了する。なお、判定部154は、検出部152によって検出された全てのマルウェアの活動痕跡の処理を終了するまで、上記ステップS301~S306を繰り返し行ってもよい。
[活動痕跡抽出処理の流れ]
 図10を用いて、本実施形態に係る活動痕跡抽出処理の流れを詳細に説明する。図10は、第1の実施形態に係る活動痕跡抽出処理の流れの一例を示すフローチャートである。まず、活動痕跡抽出装置100の抽出部155は、活動痕跡記憶部141から活動痕跡を1つ取得する(ステップS401)。また、抽出部155は、判定部154によって判定された、当該活動痕跡に対応する判定結果を取得する(ステップS402)。なお、ステップS401とステップS402の処理は同時に行われてもよい。
 次に、抽出部155は、当該活動痕跡が依存性なしと判定された場合(ステップS403:Yes)、当該活動痕跡は依存性がなく、当該活動痕跡を生成するマルウェアの検知に有効な活動痕跡として出力する(ステップS404)。一方、抽出部155は、当該活動痕跡が依存性なしと判定されなかった場合(ステップS403:No)、ステップS405に移行する。
 そして、抽出部155は、検出部152によって検出された全てのマルウェアの活動痕跡の処理が終了した場合(ステップS405:Yes)、処理を終了する。一方、抽出部155は、全てのマルウェアの活動痕跡の処理が終了していない場合(ステップS405:No)、ステップS401に戻り処理を繰り返す。
[第1の実施形態の効果]
 第1に、上述した本実施形態に係る活動痕跡抽出処理では、マルウェアの挙動に関する情報を取得し、取得したマルウェアの挙動に関する情報に基づいて、マルウェアの活動痕跡を検出し、マルウェアに対してテイント解析を実行し、マルウェアが所定のAPIを呼び出す場合には、APIの出力値にテイント解析に基づくテイントタグを付与し、付与したテイントタグに基づいて、活動痕跡の依存性の有無を判定し、依存性がないと判定した場合には、活動痕跡をマルウェアを検知するために有効な活動痕跡として抽出する。このため、本処理では、マルウェアのデータフローの追跡に基づいて活動痕跡の依存性の有無を精緻に検出し、依存性がなくマルウェアの検知に有効な活動痕跡を選択的に抽出できる。
 第2に、上述した本実施形態に係る活動痕跡抽出処理では、マルウェアがシステム情報等を取得するAPIを呼び出す場合には、APIの出力値にテイント解析に基づくテイントタグを付与し、活動痕跡の時間依存性または環境依存性の有無を判定する。このため、本処理では、マルウェアのデータフローの追跡に基づいて活動痕跡の依存性の有無を精緻に検出し、依存性がなくマルウェアの検知に有効な活動痕跡をより効果的に、かつ選択的に抽出できる。
 第3に、上述した本実施形態に係る活動痕跡抽出処理では、ネットワーク通信、ファイル操作、レジストリ操作またはプロセス生成に関与するAPIトレースを取得する。このため、本処理では、より効率的に抽出対象の活動痕跡を取得し、マルウェアのデータフローの追跡に基づいて活動痕跡の依存性の有無を精緻に検出し、依存性がなくマルウェアの検知に有効な活動痕跡を選択的に抽出できる。
 第4に、上述した本実施形態に係る活動痕跡抽出処理では、活動痕跡に対応するAPIの引数にテイント解析に基づくテイントタグが付与されている場合には、前記活動痕跡は前記依存性があると判定し、抽出したマルウェアを検知するために有効な活動痕跡から、マルウェアの痕跡情報を生成する。このため、本処理では、マルウェアのデータフローの追跡に基づいて活動痕跡の依存性の有無を精緻に検出し、依存性がなくマルウェアの検知に有効な活動痕跡を選択的に抽出し、有効な痕跡情報の生成することができる。
〔システム構成等〕
 上記実施形態に係る図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示のごとく構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。さらに、各装置にて行なわれる各処理機能は、その全部または任意の一部が、CPUおよび当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
 また、上記実施形態において説明した各処理のうち、自動的に行われるものとして説明した処理の全部または一部を手動的に行うこともでき、あるいは、手動的に行われるものとして説明した処理の全部または一部を公知の方法で自動的に行うこともできる。この他、上記文書中や図面中で示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。
〔プログラム〕
 また、上記実施形態において説明した活動痕跡抽出装置100が実行する処理をコンピュータが実行可能な言語で記述したプログラムを作成することもできる。この場合、コンピュータがプログラムを実行することにより、上記実施形態と同様の効果を得ることができる。さらに、かかるプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータに読み込ませて実行することにより上記実施形態と同様の処理を実現してもよい。
 図11は、プログラムを実行するコンピュータを示す図である。図11に例示するように、コンピュータ1000は、例えば、メモリ1010と、CPU1020と、ハードディスクドライブインタフェース1030と、ディスクドライブインタフェース1040と、シリアルポートインタフェース1050と、ビデオアダプタ1060と、ネットワークインタフェース1070とを有し、これらの各部はバス1080によって接続される。
 メモリ1010は、図11に例示するように、ROM(Read Only Memory)1011及びRAM1012を含む。ROM1011は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、図11に例示するように、ハードディスクドライブ1090に接続される。ディスクドライブインタフェース1040は、図11に例示するように、ディスクドライブ1100に接続される。例えば、磁気ディスクや光ディスク等の着脱可能な記憶媒体が、ディスクドライブ1100に挿入される。シリアルポートインタフェース1050は、図11に例示するように、例えば、マウス1110、キーボード1120に接続される。ビデオアダプタ1060は、図11に例示するように、例えばディスプレイ1130に接続される。
 ここで、図11に例示するように、ハードディスクドライブ1090は、例えば、OS1091、アプリケーションプログラム1092、プログラムモジュール1093、プログラムデータ1094を記憶する。すなわち、上記のプログラムは、コンピュータ1000によって実行される指令が記述されたプログラムモジュールとして、例えば、ハードディスクドライブ1090に記憶される。
 また、上記実施形態で説明した各種データは、プログラムデータとして、例えば、メモリ1010やハードディスクドライブ1090に記憶される。そして、CPU1020が、メモリ1010やハードディスクドライブ1090に記憶されたプログラムモジュール1093やプログラムデータ1094を必要に応じてRAM1012に読み出し、各種処理手順を実行する。
 なお、プログラムに係るプログラムモジュール1093やプログラムデータ1094は、ハードディスクドライブ1090に記憶される場合に限られず、例えば着脱可能な記憶媒体に記憶され、ディスクドライブ等を介してCPU1020によって読み出されてもよい。あるいは、プログラムに係るプログラムモジュール1093やプログラムデータ1094は、ネットワーク(LAN(Local Area Network)、WAN(Wide Area Network)等)を介して接続された他のコンピュータに記憶され、ネットワークインタフェース1070を介してCPU1020によって読み出されてもよい。
 上記の実施形態やその変形は、本願が開示する技術に含まれると同様に、請求の範囲に記載された発明とその均等の範囲に含まれるものである。
 1 活動痕跡抽出システム
 100 活動痕跡抽出装置
 110 入力部
 120 出力部
 130 通信部
 140 記憶部
 141 活動痕跡記憶部
 142 タグマップ記憶部
 150 制御部
 151 取得部
 152 検出部
 153 付与部
 154 判定部
 155 抽出部
 156 生成部
 20、20A、20B、20C ユーザ端末
 30、30A、30B、30C セキュリティ対応組織
 40 APIリストデータベース

Claims (6)

  1.  マルウェアの挙動に関する情報を取得する取得部と、
     前記取得部によって取得された前記情報に基づいて、前記マルウェアの活動痕跡を検出する検出部と、
     前記マルウェアに対してテイント解析を実行し、前記マルウェアが所定のAPI(Application Programming Interface)を呼び出す場合には、該APIの出力値に該テイント解析に基づくテイントタグを付与する付与部と、
     前記付与部によって付与された前記テイントタグに基づいて、前記活動痕跡の依存性の有無を判定する判定部と、
     前記判定部によって前記依存性がないと判定された場合には、前記活動痕跡を前記マルウェアを検知するために有効な活動痕跡として抽出する抽出部と
     を備えることを特徴とする活動痕跡抽出装置。
  2.  前記付与部は、前記マルウェアがシステム情報、時刻情報、デバイス情報、またはアプリケーションに固有の情報を取得する前記APIを呼び出す場合には、前記出力値に前記テイントタグを付与し、
     前記判定部は、前記活動痕跡の時間依存性または環境依存性の有無を判定することを特徴とする請求項1に記載の活動痕跡抽出装置。
  3.  前記取得部は、ネットワーク通信、ファイル操作、レジストリ操作またはプロセス生成に関与するAPI呼び出しの引数を取得することを特徴とする請求項2に記載の活動痕跡抽出装置。
  4.  前記判定部は、前記活動痕跡に対応する前記APIの引数に前記テイントタグが付与されている場合には、前記活動痕跡は前記依存性があると判定し、
     前記抽出部によって抽出された前記有効な活動痕跡から、前記マルウェアの痕跡情報を生成する生成部をさらに備えることを特徴とする請求項1から3のいずれか1項に記載の活動痕跡抽出装置。
  5.  活動痕跡抽出装置によって実行される活動痕跡抽出方法であって、
     マルウェアの挙動に関する情報を取得する取得工程と、
     前記取得工程によって取得された前記情報に基づいて、前記マルウェアの活動痕跡を検出する検出工程と、
     前記マルウェアに対してテイント解析を実行し、前記マルウェアが所定のAPIを呼び出す場合には、該APIの出力値に該テイント解析に基づくテイントタグを付与する付与工程と、
     前記付与工程によって付与された前記テイントタグに基づいて、前記活動痕跡の依存性の有無を判定する判定工程と、
     前記判定工程によって前記依存性がないと判定された場合には、前記活動痕跡を前記マルウェアを検知するために有効な活動痕跡として抽出する抽出工程と
     を含むことを特徴とする活動痕跡抽出方法。
  6.  マルウェアの挙動に関する情報を取得する取得ステップと、
     前記取得ステップによって取得された前記情報に基づいて、前記マルウェアの活動痕跡を検出する検出ステップと、
     前記マルウェアに対してテイント解析を実行し、前記マルウェアが所定のAPIを呼び出す場合には、該APIの出力値に該テイント解析に基づくテイントタグを付与する付与ステップと、
     前記付与ステップによって付与された前記テイントタグに基づいて、前記活動痕跡の依存性の有無を判定する判定ステップと、
     前記判定ステップによって前記依存性がないと判定された場合には、前記活動痕跡を前記マルウェアを検知するために有効な活動痕跡として抽出する抽出ステップと
     をコンピュータに実行させることを特徴とする活動痕跡抽出プログラム。
PCT/JP2021/010706 2021-03-16 2021-03-16 活動痕跡抽出装置、活動痕跡抽出方法および活動痕跡抽出プログラム WO2022195739A1 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
PCT/JP2021/010706 WO2022195739A1 (ja) 2021-03-16 2021-03-16 活動痕跡抽出装置、活動痕跡抽出方法および活動痕跡抽出プログラム
JP2023506461A JPWO2022195739A1 (ja) 2021-03-16 2021-03-16

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2021/010706 WO2022195739A1 (ja) 2021-03-16 2021-03-16 活動痕跡抽出装置、活動痕跡抽出方法および活動痕跡抽出プログラム

Publications (1)

Publication Number Publication Date
WO2022195739A1 true WO2022195739A1 (ja) 2022-09-22

Family

ID=83320207

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/JP2021/010706 WO2022195739A1 (ja) 2021-03-16 2021-03-16 活動痕跡抽出装置、活動痕跡抽出方法および活動痕跡抽出プログラム

Country Status (2)

Country Link
JP (1) JPWO2022195739A1 (ja)
WO (1) WO2022195739A1 (ja)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2014185165A1 (ja) * 2013-05-16 2014-11-20 日本電信電話株式会社 情報処理装置、および、情報処理方法
WO2014188780A1 (ja) * 2013-05-20 2014-11-27 日本電信電話株式会社 情報処理装置及び特定方法
JP2016040698A (ja) * 2014-08-13 2016-03-24 Kddi株式会社 テイント解析装置、テイント解析方法、およびプログラム
JP2017162042A (ja) * 2016-03-08 2017-09-14 株式会社セキュアブレイン 不正処理解析装置、および不正処理解析方法

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2014185165A1 (ja) * 2013-05-16 2014-11-20 日本電信電話株式会社 情報処理装置、および、情報処理方法
WO2014188780A1 (ja) * 2013-05-20 2014-11-27 日本電信電話株式会社 情報処理装置及び特定方法
JP2016040698A (ja) * 2014-08-13 2016-03-24 Kddi株式会社 テイント解析装置、テイント解析方法、およびプログラム
JP2017162042A (ja) * 2016-03-08 2017-09-14 株式会社セキュアブレイン 不正処理解析装置、および不正処理解析方法

Also Published As

Publication number Publication date
JPWO2022195739A1 (ja) 2022-09-22

Similar Documents

Publication Publication Date Title
US20200233736A1 (en) Enabling symptom verification
EP3200115B1 (en) Specification device, specification method, and specification program
US8555385B1 (en) Techniques for behavior based malware analysis
CN108667855B (zh) 网络流量异常监测方法、装置、电子设备及存储介质
JP7115552B2 (ja) 解析機能付与装置、解析機能付与方法及び解析機能付与プログラム
EP1543396A2 (en) Method and apparatus for the automatic determination of potentially worm-like behaviour of a program
KR101676366B1 (ko) 사이버 공격 대응을 위한 악성코드 침해 경로 및 행위 추적을 수행하는 침해 공격 추적 시스템 및 방법
JP7024720B2 (ja) マルウェア解析装置、マルウェア解析方法、及び、マルウェア解析プログラム
RU2634177C1 (ru) Система и способ обнаружения нежелательного программного обеспечения
US20160124795A1 (en) Evaluation method and apparatus
CN111183620B (zh) 入侵调查
WO2015073469A1 (en) Functional validation of software
CN105247533A (zh) 信息处理装置和确定方法
JP2007109016A (ja) アクセスポリシ生成システム、アクセスポリシ生成方法及びアクセスポリシ生成用プログラム
CN106462704B (zh) 动态读入代码分析装置和动态读入代码分析方法
WO2022195739A1 (ja) 活動痕跡抽出装置、活動痕跡抽出方法および活動痕跡抽出プログラム
JP2005234661A (ja) アクセスポリシ生成システム、アクセスポリシ生成方法およびアクセスポリシ生成用プログラム
JP6075013B2 (ja) ログ取得プログラム、ログ取得装置及びログ取得方法
CN111886594A (zh) 恶意进程跟踪
US11573887B2 (en) Extracting code patches from binary code for fuzz testing
US20180276382A1 (en) System and Method for Automation of Malware Unpacking and Analysis
JP5386015B1 (ja) バグ検出装置およびバグ検出方法
US20170123959A1 (en) Optimized instrumentation based on functional coverage
WO2022195737A1 (ja) 活動痕跡抽出装置、活動痕跡抽出方法及び活動痕跡抽出プログラム
WO2022195728A1 (ja) 活動痕跡抽出装置、活動痕跡抽出方法及び活動痕跡抽出プログラム

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 21931491

Country of ref document: EP

Kind code of ref document: A1

WWE Wipo information: entry into national phase

Ref document number: 2023506461

Country of ref document: JP

WWE Wipo information: entry into national phase

Ref document number: 18281776

Country of ref document: US

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 21931491

Country of ref document: EP

Kind code of ref document: A1