ハイパーバイザにおける仮想デバイスの脆弱ウィンドウを短縮する不正I/Oフィルタ

瀬貫, 真菜; 石黒, 健太; 河野, 健二

WEKO3

インデックスツリー

RootNode

アイテム

ハイパーバイザにおける仮想デバイスの脆弱ウィンドウを短縮する不正I/Oフィルタ

https://ipsj.ixsq.nii.ac.jp/records/218147

名前 / ファイル	ライセンス	アクション
IPSJ-OS22155005.pdf (947.5 kB)	Copyright (c) 2022 by the Information Processing Society of Japan
オープンアクセス

Item type

SIG Technical Reports(1)

公開日

2022-05-19

タイトル

ハイパーバイザにおける仮想デバイスの脆弱ウィンドウを短縮する不正I/Oフィルタ

言語

jpn

キーワード

主題Scheme

Other

主題

仮想化・OS

資源タイプ

資源タイプ識別子

http://purl.org/coar/resource_type/c_18gh

資源タイプ

technical report

著者所属

慶應義塾大学

著者所属

慶應義塾大学／現在，法政大学

著者所属

慶應義塾大学

著者所属(英)

Keio University

著者所属(英)

Keio University / Presently with Hosei Uniersity

著者所属(英)

Keio University

著者名

瀬貫, 真菜
石黒, 健太
河野, 健二

論文抄録

内容記述タイプ

Other

内容記述

マルチテナント型のクラウド環境において，ハイパーバイザは仮想マシンの隔離と安全性を保証しているものの，ハイパーバイザにも多くの脆弱性が報告されており，特にデバイスエミュレータはその温床となっている．デバイスエミュレータはその複雑さから修正パッチの開発が容易ではなく，脆弱性の発見からパッチの適用までに長い時間を要することが多い．本論文では，デバイスエミュレータを対象に一時的に脆弱性を防ぐ手法を提案する．デバイスエミュレータの脆弱性を突く攻撃では，通常の I/O 処理では行われることのない I/O 要求を行うことが多い．そこで，脆弱性を突く不正攻撃に特有の I/O 要求を拒否する I/O フィルタの仕組みを導入する．I/O フィルタでは，特定の脆弱性を突くための特徴的な I/O 要求が記述でき，その記述に合致する I/O 要求を拒絶する．このフィルタはデバイスの内部構造を理解することなく記述可能であるため，修正パッチの作成より容易であることが期待できる．実際に CVE-2015-3456 (VENOM)，CVE-2016-7909 など 4 個の脆弱性を防ぐフィルタの記述が可能であり，通常時の仮想マシンの動作を阻害することはなく，実行時オーバーヘッドも最大 8% 程度であることを示す．

書誌レコードID

収録物識別子タイプ

NCID

収録物識別子

AN10444176

書誌情報

研究報告システムソフトウェアとオペレーティング・システム（OS）

巻 2022-OS-155, 号 5, p. 1-9, 発行日 2022-05-19

ISSN

収録物識別子タイプ

ISSN

収録物識別子

2188-8795

Notice

SIG Technical Reports are nonrefereed and hence may later appear in any journals, conferences, symposia, etc.

出版者

言語

出版者

情報処理学会

戻る

views

See details

	Views

Versions

Ver.1

2025-01-19 15:15:08.306896

Show All versions

Cite as

エクスポート

OAI-PMH

JPCOAR
DublinCore
DDI

Other Formats

JSON
BIBTEX

インデックスリンク

インデックスツリー

アイテム

ハイパーバイザにおける仮想デバイスの脆弱ウィンドウを短縮する不正I/Oフィルタ

× 瀬貫, 真菜

× 石黒, 健太

× 河野, 健二

Versions

Share

Cite as

エクスポート