論文の概要: Finding Software Supply Chain Attack Paths with Logical Attack Graphs

• arxiv url: http://arxiv.org/abs/2511.11171v1
• Date: Fri, 14 Nov 2025 11:13:04 GMT
• ステータス: 翻訳完了
• システム内更新日: 2025-11-17 22:42:18.553418
• Title: Finding Software Supply Chain Attack Paths with Logical Attack Graphs
• Title（参考訳）: 論理的アタックグラフを用いたソフトウェアサプライチェーンアタックパスの検出
• Authors: Luıs Soeiro, Thomas Robert, Stefano Zacchiroli,
• Abstract要約: 本稿では,SSC脅威伝搬解析とネットワークベースの脅威解析を統合したMulValの拡張を提案する。 新たなファクトとインタラクションルールは、SSC資産、依存関係、インタラクション、妥協、追加のセキュリティメカニズム、初期システム状態、既知の脅威をモデル化する。
• 参考スコア（独自算出の注目度）: 4.076153126389202
• License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
• Abstract: Cyberattacks are becoming increasingly frequent and sophisticated, often exploiting the software supply chain (SSC) as an attack vector. Attack graphs provide a detailed representation of the sequence of events and vulnerabilities that could lead to a successful security breach in a system. MulVal is a widely used open-source tool for logical attack graph generation in networked systems. However, its current lack of support for capturing and reasoning about SSC threat propagation makes it unsuitable for addressing modern SSC attacks, such as the XZ compromise or the 3CX double SSC attack. To address this limitation, we propose an extension to MulVal that integrates SSC threat propagation analysis with existing network-based threat analysis. This extension introduces a new set of predicates within the familiar MulVal syntax, enabling seamless integration. The new facts and interaction rules model SSC assets, their dependencies, interactions, compromises, additional security mechanisms, initial system states, and known threats. We explain how this integration operates in both directions and demonstrate the practical application of the extension.
• Abstract（参考訳）: サイバー攻撃はますます頻繁で洗練され、ソフトウェアサプライチェーン(SSC)を攻撃ベクタとして利用している。 攻撃グラフは、システム内のセキュリティ侵害を成功させる可能性のある、イベントと脆弱性のシーケンスの詳細な表現を提供する。 MulValは、ネットワークシステムにおける論理攻撃グラフ生成のための、広く使われているオープンソースツールである。 しかし、現在のSSC脅威伝播の捕捉と推論のサポートの欠如は、XZ妥協や3CXダブルSSC攻撃のような現代のSSC攻撃に対処するには適していない。 この制限に対処するため、既存のネットワークベースの脅威分析とSSC脅威伝播分析を統合したMulValの拡張を提案する。 この拡張は、慣れ親しんだMulVal構文の中に新しい述語セットを導入し、シームレスな統合を可能にした。 新しいファクトとインタラクションルールは、SSC資産、依存関係、インタラクション、妥協、追加のセキュリティメカニズム、初期システム状態、既知の脅威をモデル化する。 この統合が両方向にどのように機能するかを説明し、拡張の実践的応用を実証する。

関連論文リスト

• Investigating Security Implications of Automatically Generated Code on the Software Supply Chain [4.3754423452518205]
  ソフトウェアサプライチェーン(SSC)攻撃は、世界社会に重大なリスクをもたらす。 大規模言語モデル(LLM)のようなコード生成技術は、開発者コミュニティで広く利用されている。 LLMは、製造、誤情報、時代遅れのトレーニングデータへの依存など、コードを生成する際に固有の問題に悩まされる。
  論文  参考訳（メタデータ） (2025-09-24T16:15:17Z)
• Cuckoo Attack: Stealthy and Persistent Attacks Against AI-IDE [64.47951172662745]
  Cuckoo Attackは、悪意のあるペイロードを構成ファイルに埋め込むことで、ステルス性と永続的なコマンド実行を実現する新しい攻撃である。 攻撃パラダイムを初期感染と持続性という2つの段階に分類する。 当社は、ベンダーが製品のセキュリティを評価するために、実行可能な7つのチェックポイントを提供しています。
  論文  参考訳（メタデータ） (2025-09-19T04:10:52Z)
• CyGATE: Game-Theoretic Cyber Attack-Defense Engine for Patch Strategy Optimization [73.13843039509386]
  本稿では,攻撃と防御の相互作用をモデル化するゲーム理論フレームワークCyGATEを提案する。 CyGATEはサイバー・キル・チェーン(Cyber Kill Chain)の段階にわたって、サイバー紛争を部分的に観察可能なゲーム(POSG)として捉えている。 フレームワークの柔軟なアーキテクチャは、マルチエージェントシナリオの拡張を可能にする。
  論文  参考訳（メタデータ） (2025-08-01T09:53:06Z)
• A Systematization of Security Vulnerabilities in Computer Use Agents [1.3560089220432787]
  我々は、現実のCUAのシステム的脅威分析と、敵条件下でのテストを行う。 CUAパラダイム特有のリスクのクラスを7つ同定し、3つの具体的なエクスプロイトシナリオを詳細に分析する。 これらのケーススタディは、現在のCUA実装にまたがるより深いアーキテクチャ上の欠陥を明らかにします。
  論文  参考訳（メタデータ） (2025-07-07T19:50:21Z)
• Toward Mixture-of-Experts Enabled Trustworthy Semantic Communication for 6G Networks [82.3753728955968]
  本稿では,新しいMixture-of-Experts(MoE)ベースのSemComシステムを提案する。 このシステムはゲーティングネットワークと複数の専門家で構成され、それぞれ異なるセキュリティ課題に特化している。 ゲーティングネットワークは、ユーザ定義のセキュリティ要件に基づいて、異種攻撃に対抗するための適切な専門家を適応的に選択する。 車両ネットワークにおけるケーススタディは、MoEベースのSemComシステムの有効性を示す。
  論文  参考訳（メタデータ） (2024-09-24T03:17:51Z)
• It Is Time To Steer: A Scalable Framework for Analysis-driven Attack Graph Generation [50.06412862964449]
  アタックグラフ(AG)は、コンピュータネットワークに対するマルチステップ攻撃に対するサイバーリスクアセスメントをサポートする最も適したソリューションである。 現在の解決策は、アルゴリズムの観点から生成問題に対処し、生成が完了した後のみ解析を仮定することである。 本稿では,アナリストがいつでもシステムに問い合わせることのできる新しいワークフローを通じて,従来のAG分析を再考する。
  論文  参考訳（メタデータ） (2023-12-27T10:44:58Z)
• Assessing the Threat Level of Software Supply Chains with the Log Model [4.1920378271058425]
  全ソフトウェアシステムにおけるフリーおよびオープンソースソフトウェア(FOSS)コンポーネントの使用は90%以上と見積もられている。 本研究は、ログモデルを用いてFOSSサプライチェーンの脅威レベルを評価する新しいアプローチを提案する。
  論文  参考訳（メタデータ） (2023-11-20T12:44:37Z)
• Software supply chain: review of attacks, risk assessment strategies and security controls [0.13812010983144798]
  ソフトウェア製品は、ソフトウェアサプライチェーンを配布ベクタとして使用することによって組織を標的とするサイバー攻撃の源泉である。 我々は、分析された攻撃の最新の傾向を提供することで、最も一般的なソフトウェアサプライチェーン攻撃を分析します。 本研究では、分析されたサイバー攻撃やリスクを現実のセキュリティインシデントやアタックと結びつけて軽減するユニークなセキュリティ制御を導入する。
  論文  参考訳（メタデータ） (2023-05-23T15:25:39Z)
• Looking Beyond IoCs: Automatically Extracting Attack Patterns from External CTI [3.871148938060281]
  LADDERは、大規模にサイバー脅威情報レポートからテキストベースの攻撃パターンを抽出できるフレームワークである。 実世界のシナリオにおけるLADDERの適用を実証するためのユースケースをいくつか提示する。
  論文  参考訳（メタデータ） (2022-11-01T12:16:30Z)
• A System for Automated Open-Source Threat Intelligence Gathering and Management [53.65687495231605]
  SecurityKGはOSCTIの収集と管理を自動化するシステムである。 AIとNLP技術を組み合わせて、脅威行動に関する高忠実な知識を抽出する。
  論文  参考訳（メタデータ） (2021-01-19T18:31:35Z)
• A System for Efficiently Hunting for Cyber Threats in Computer Systems Using Threat Intelligence [78.23170229258162]
  ThreatRaptorは、OSCTIを使用してコンピュータシステムにおけるサイバー脅威ハンティングを容易にするシステムです。 ThreatRaptorは、(1)構造化OSCTIテキストから構造化された脅威行動を抽出する非監視で軽量で正確なNLPパイプライン、(2)簡潔で表現力のあるドメイン固有クエリ言語であるTBQLを提供し、悪意のあるシステムアクティビティを探し、(3)抽出された脅威行動からTBQLクエリを自動的に合成するクエリ合成メカニズムを提供する。
  論文  参考訳（メタデータ） (2021-01-17T19:44:09Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。