Ｒ１２ マルウェアの連携感染パターンの自動検出方式 菊池研究室 大類将之 桑原和也

研究背景 感染者は知らぬ間に 不正行為を行う「加害者」に！ ボットと呼ばれるマルウェアによる感染が拡大 ボットは、数10～数100万台のボット感染PCを従えたボットネットと呼ばれるネットワークを形成し、攻撃者の命令に従い、不正活動を行う 分散サービス使用不能攻撃（DDoS攻撃） スパムメール 違法サイトの構築 成功報酬型広告収入の不正取得 感染者は知らぬ間に 不正行為を行う「加害者」に！

マルウェアの変遷 (1/2) 第1期「単一」 第2期「分散攻撃」 Ａ Ｂ 侵入 PS ＢＯ WORM 潜伏 感染 Ｃ Ｄ 感染 WORM

マルウェアの変遷 (2/2) 第３期「ボットネット」 WORM DL2 PE 連携感染 DL1 TROJ 攻撃者 DL3 4

実験データ CCC DATAset 2009 感染PC ハニーポット ログや検体 ハニーポット（おとりサーバ）94台を使い マルウェアの通信を取得したデータ ハニーポットとは？ マルウェアを調査・研究するため設置するコンピュータ 今回は，約20分間隔でリブートされている 攻撃 収集 WORM 感染PC ハニーポット ログや検体

CCC DATAset 2009 パケットキャプチャデータ ログデータ 2日間の通信を全てキャプチャーしたもの（2台分） 1年間のマルウェア感染時のログ（94台分）

パケットキャプチャデータ

2日間 (2009年3月13-14日) 300MB/日 パケットキャプチャデータ

ログデータ マルウェア検体の 取得時間 マルウェアのハッシュ値や マルウェア名 ハニーポットIDや IPアドレス

1年間 (2008年4月-2009年3月) 1,355種 2,500万回のログ ログデータ マルウェアのハッシュ値や マルウェア名

マルウェアの連携を発見できますか？ Aaaaaa PE_VIRUT.XK-2 PE_VIRUT.XK-1 PE_VIRUT.XI-4 PE_VIRUT.XI-3 Aaaaaa PE_VIRUT.XI-2 PE_VIRUT.XI-1 PE_VIRUT.SA PE_VIRUT.PAU Aaaaaaaaa PE_VIRUT.NZY PE_VIRUT.NS-4 PE_VIRUT.NS-3 PE_VIRUT.NS-2 aaaaaaaaaaPE_VIRUT.NS-1 PE_VIRUT.LJ PE_VIRUT.JN PE_VIRUT.JMA PE_VIRUT.GEN-3 PE_VIRUT.GEN-2 PE_VIRUT.GEN-1 PE_VIRUT.GEN Aaaaaa PE_VIRUT.EH PE_VIRUT.EE PE_VIRUT.E-4 PE_VIRUT.DAM WORM_ZHELATI.AFC WORM_VB.FON WORM_VANBOT.VS WORM_VANBOT.TV WORM_VANBOT.TU WORM_VANBOT.TT WORM_VANBOT.TS WORM_VANBOT.TQ WORM_VANBOT.PJ WORM_VANBOT.NP WORM_VANBOT.LO WORM_VANBOT.FU WORM_VANBOT.DT WORM_VANBOT.AX WORM_VANBOT.AC WORM_STRAT.GEN-3 WORM_SPYBOT.ZX WORM_SPYBOT.WH WORM_SPYBOT.VD WORM_SWTYMLAI.CD Aaaaa PE_VIRUT.XP-3 PE_VIRUT.XP-2 PE_VIRUT.XP-1 PE_VIRUT.XP PE_VIRUT.XO-4 PE_VIRUT.XO-3 PE_VIRUT.XO-2 PE_VIRUT.XO-1 PE_VIRUT.XN-3 PE_VIRUT.XL-4 PE_VIRUT.XL-3 PE_VIRUT.XL-2 PE_VIRUT.XL-1 PE_VIRUT.XL PE_VIRUT.XK-4 PE_VIRUT.XK-3 Aaaa PE_VIRUT.XK-2 PE_VIRUT.XK-1 PE_VIRUT.XI-4 PE_VIRUT.XI-3 WORM_SPYBOT.VC WORM_SPYBOT.TK WORM_SPYBOT.SN WORM_SPYBOT.RX WORM_SPYBOT.RR WORM_SPYBOT.RP WORM_SPYBOT.RO WORM_SPYBOT.RHB WORM_SPYBOT.PC WORM_SPYBOT.OQ WORM_SPYBOT.OK WORM_SPYBOT.MMS WORM_SPYBOT.MCS WORM_SPYBOT.MCL WORM_SPYBOT.JAZ WORM_SPYBOT.BEA WORM_SPYBOT.BCG WORM_SPYBOT.BBS WORM_SPYBOT.AZO WORM_SPYBOT.AYSaaaaaaa WORM_SPYBOT.AYI WORM_SPYBOT.AXC WORM_SPYBOT.AWN WORM_SPYBOT.AWLaaaaaa WORM_SPYBOT.AVF WORM_SPYBOT.ATR WORM_SPYBOT.ATH WORM_SPYBOT.ASJ aaaaaaa WORM_SPYBOT.AOU WORM_SPYBOT.AOP WORM_SPYBOT.AOD WORM_SPYBOT.AKO WORM_SPYBOT.AKL WORM_SPYBOT.AEK WORM_SPYBOT.ADS WORM_SOHANAD.HX WORM_SMALL.MDZ WORM_SILLY.KO WORM_SDBOT.ZZN WORM_SDBOT.ZKM WORM_SDBOT.ZHB WORM_SDBOT.ZAW WORM_SDBOT.XE WORM_SDBOT.VX WORM_SDBOT.VN WORM_SDBOT.LM WORM_SDBOT.GB WORM_SDBOT.GAV WORM_SDBOT.GAD WORM_SDBOT.FNQ WORM_SDBOT.FNG WORM_SDBOT.FMY WORM_SDBOT.FMB WORM_SDBOT.FLY WORM_SDBOT.FKW WORM_SDBOT.FKT WORM_SDBOT.FIN WORM_SDBOT.FGK WORM_SDBOT.EYY WORM_SDBOT.ETB Aaa PE_VIRUX.J PE_VIRUX.F PE_VIRUX.D PE_VIRUX.C-1 PE_VIRUX.A-4 PE_VIRUX.A-3 PE_VIRUX.A-1 PE_VIRUT.YEPE_VIRUT.YD PE_VIRUT.YC PE_VIRUT.XZ PE_VIRUT.XY PE_VIRUT.XW PE_VIRUT.XV PE_VIRUT.XU PE_VIRUT.XS-4 PE_VIRUT.XQ-4 PE_VIRUT.XQ-3 PE_VIRUT.XQ-2 PE_VIRUT.XQ-1 PE_VIRUT.XQ PE_VIRUT.XP-4 TROJ_DLOADER.TUL TROJ_DLOADER.SIP TROJ_DLOADER.RGY TROJ_DLOADER.RFV TROJ_DLOADER.RAR TROJ_DLOADER.PER TROJ_DLOADER.LPR TROJ_DLOADER.FJK TROJ_DLOADER.ETK TROJ_DLOADER.DDY TROJ_DLOADER.AMT TROJ_DLOADE.DPF TROJ_DLOADE.DBE TROJ_DLOAD.OG TROJ_DLOAD.DD TROJ_DLDER.BE aaaaaaaa TROJ_DISABLER.AO TROJ_DIALER.NR TROJ_DIALER.HBB TROJ_DELF.OJD aaaaaaaaaaaaaa TROJ_DELF.MOZ TROJ_DELF.KDM TROJ_DELF.IO TROJ_DELF.GGT aaaaaaaaaaaaaaaaaaaaaaa PE_VIRUT.D-4 PE_VIRUT.D-3 PE_VIRUT.D-2 PE_VIRUT.D-1 PE_VIRUT.D PE_VIRUT.CEL PE_VIRUT.B PE_VIRUT.AT PE_VIRUT.ASA PE_VIRUT.AQ-4 PE_VIRUT.AQ-1 PE_VIRUT.AP PE_VIRUT.AE PE_VIRUT.ABY PE_VIRUT.A PE_VALLA.A PE_TRATS.E PE_TRATS.B PE_TRATS.A PE_VIRUT.AV TROJ_DELF.DWD TROJ_DELF.ACB TROJ_DCOMRPC.AW TROJ_DCOMRPC.AI TROJ_DCOMRPC.AA TROJ_CUTWAIL.MCS TROJ_CUTWAIL.DP TROJ_CUTWAIL.AT TROJ_CPEX.K TROJ_CPEX.F TROJ_CONHOOK.EI TROJ_CLICKER.IO TROJ_CLICK.MMZ TROJ_BUZUS.UA TROJ_BUZUS.SHB TROJ_BUZUS.PAR TROJ_BUZUS.GN TROJ_BUZUS.APR TROJ_BUZUS.AMI TROJ_BUZUS.AHI TROJ_BUZUS.AGT TROJ_BUZUS.AGQTROJ_BUZUS.ADZ PE_TENGA.A PE_SALITY.M PE_SALITY.JER PE_SALITY.EN-1 PE_SALITY.AS PE_SALITY.AL-1 PE_SALITY.AL PE_SALITY.AE PE_SALITY.AC-O PE_SALITY.AC PE_RESOURCER.A PE_PARITE.A PE_Generic PE_FUNLOVE.4099 PE_CORELINK.C-1 PE_BOBAX.AK PE_BOBAX.AI PE_BOBAX.AH PE_AGOBOT.AQM Cryp_PESpin TROJ_BUZUS.AGB

15億年 800,000,000,000,000 マルウェアの連携を発見できますか？ 1335種C3種 =395,654,395の組み合わせ！ 800,000,000,000,000 マルウェアの連携を発見できますか？ Aaaaaa PE_VIRUT.XK-2 PE_VIRUT.XK-1 PE_VIRUT.XI-4 PE_VIRUT.XI-3 Aaaaaa PE_VIRUT.XI-2 PE_VIRUT.XI-1 PE_VIRUT.SA PE_VIRUT.PAU Aaaaaaaaa PE_VIRUT.NZY PE_VIRUT.NS-4 PE_VIRUT.NS-3 PE_VIRUT.NS-2 aaaaaaaaaaPE_VIRUT.NS-1 PE_VIRUT.LJ PE_VIRUT.JN PE_VIRUT.JMA PE_VIRUT.GEN-3 PE_VIRUT.GEN-2 PE_VIRUT.GEN-1 PE_VIRUT.GEN Aaaaaa PE_VIRUT.EH PE_VIRUT.EE PE_VIRUT.E-4 PE_VIRUT.DAM WORM_ZHELATI.AFC WORM_VB.FON WORM_VANBOT.VS WORM_VANBOT.TV WORM_VANBOT.TU WORM_VANBOT.TT WORM_VANBOT.TS WORM_VANBOT.TQ WORM_VANBOT.PJ WORM_VANBOT.NP WORM_VANBOT.LO WORM_VANBOT.FU WORM_VANBOT.DT WORM_VANBOT.AX WORM_VANBOT.AC WORM_STRAT.GEN-3 WORM_SPYBOT.ZX WORM_SPYBOT.WH WORM_SPYBOT.VD WORM_SWTYMLAI.CD Aaaaa PE_VIRUT.XP-3 PE_VIRUT.XP-2 PE_VIRUT.XP-1 PE_VIRUT.XP PE_VIRUT.XO-4 PE_VIRUT.XO-3 PE_VIRUT.XO-2 PE_VIRUT.XO-1 PE_VIRUT.XN-3 PE_VIRUT.XL-4 PE_VIRUT.XL-3 PE_VIRUT.XL-2 PE_VIRUT.XL-1 PE_VIRUT.XL PE_VIRUT.XK-4 PE_VIRUT.XK-3 Aaaa PE_VIRUT.XK-2 PE_VIRUT.XK-1 PE_VIRUT.XI-4 PE_VIRUT.XI-3 WORM_SPYBOT.VC WORM_SPYBOT.TK WORM_SPYBOT.SN WORM_SPYBOT.RX WORM_SPYBOT.RR WORM_SPYBOT.RP WORM_SPYBOT.RO WORM_SPYBOT.RHB WORM_SPYBOT.PC WORM_SPYBOT.OQ WORM_SPYBOT.OK WORM_SPYBOT.MMS WORM_SPYBOT.MCS WORM_SPYBOT.MCL WORM_SPYBOT.JAZ WORM_SPYBOT.BEA WORM_SPYBOT.BCG WORM_SPYBOT.BBS WORM_SPYBOT.AZO WORM_SPYBOT.AYSaaaaaaa WORM_SPYBOT.AYI WORM_SPYBOT.AXC WORM_SPYBOT.AWN WORM_SPYBOT.AWLaaaaaa WORM_SPYBOT.AVF WORM_SPYBOT.ATR WORM_SPYBOT.ATH WORM_SPYBOT.ASJ aaaaaaa WORM_SPYBOT.AOU WORM_SPYBOT.AOP WORM_SPYBOT.AOD WORM_SPYBOT.AKO WORM_SPYBOT.AKL WORM_SPYBOT.AEK WORM_SPYBOT.ADS WORM_SOHANAD.HX WORM_SMALL.MDZ WORM_SILLY.KO WORM_SDBOT.ZZN WORM_SDBOT.ZKM WORM_SDBOT.ZHB WORM_SDBOT.ZAW WORM_SDBOT.XE WORM_SDBOT.VX WORM_SDBOT.VN WORM_SDBOT.LM WORM_SDBOT.GB WORM_SDBOT.GAV WORM_SDBOT.GAD WORM_SDBOT.FNQ WORM_SDBOT.FNG WORM_SDBOT.FMY WORM_SDBOT.FMB WORM_SDBOT.FLY WORM_SDBOT.FKW WORM_SDBOT.FKT WORM_SDBOT.FIN WORM_SDBOT.FGK WORM_SDBOT.EYY WORM_SDBOT.ETB Aaa PE_VIRUX.J PE_VIRUX.F PE_VIRUX.D PE_VIRUX.C-1 PE_VIRUX.A-4 PE_VIRUX.A-3 PE_VIRUX.A-1 PE_VIRUT.YEPE_VIRUT.YD PE_VIRUT.YC PE_VIRUT.XZ PE_VIRUT.XY PE_VIRUT.XW PE_VIRUT.XV PE_VIRUT.XU PE_VIRUT.XS-4 PE_VIRUT.XQ-4 PE_VIRUT.XQ-3 PE_VIRUT.XQ-2 PE_VIRUT.XQ-1 PE_VIRUT.XQ PE_VIRUT.XP-4 TROJ_DLOADER.TUL TROJ_DLOADER.SIP TROJ_DLOADER.RGY TROJ_DLOADER.RFV TROJ_DLOADER.RAR TROJ_DLOADER.PER TROJ_DLOADER.LPR TROJ_DLOADER.FJK TROJ_DLOADER.ETK TROJ_DLOADER.DDY TROJ_DLOADER.AMT TROJ_DLOADE.DPF TROJ_DLOADE.DBE TROJ_DLOAD.OG TROJ_DLOAD.DD TROJ_DLDER.BE aaaaaaaa TROJ_DISABLER.AO TROJ_DIALER.NR TROJ_DIALER.HBB TROJ_DELF.OJD aaaaaaaaaaaaaa TROJ_DELF.MOZ TROJ_DELF.KDM TROJ_DELF.IO TROJ_DELF.GGT aaaaaaaaaaaaaaaaaaaaaaa PE_VIRUT.D-4 PE_VIRUT.D-3 PE_VIRUT.D-2 PE_VIRUT.D-1 PE_VIRUT.D PE_VIRUT.CEL PE_VIRUT.B PE_VIRUT.AT PE_VIRUT.ASA PE_VIRUT.AQ-4 PE_VIRUT.AQ-1 PE_VIRUT.AP PE_VIRUT.AE PE_VIRUT.ABY PE_VIRUT.A PE_VALLA.A PE_TRATS.E PE_TRATS.B PE_TRATS.A PE_VIRUT.AV 15億年 TROJ_DELF.DWD TROJ_DELF.ACB TROJ_DCOMRPC.AW TROJ_DCOMRPC.AI TROJ_DCOMRPC.AA TROJ_CUTWAIL.MCS TROJ_CUTWAIL.DP TROJ_CUTWAIL.AT TROJ_CPEX.K TROJ_CPEX.F TROJ_CONHOOK.EI TROJ_CLICKER.IO TROJ_CLICK.MMZ TROJ_BUZUS.UA TROJ_BUZUS.SHB TROJ_BUZUS.PAR TROJ_BUZUS.GN TROJ_BUZUS.APR TROJ_BUZUS.AMI TROJ_BUZUS.AHI TROJ_BUZUS.AGT TROJ_BUZUS.AGQTROJ_BUZUS.ADZ PE_TENGA.A PE_SALITY.M PE_SALITY.JER PE_SALITY.EN-1 PE_SALITY.AS PE_SALITY.AL-1 PE_SALITY.AL PE_SALITY.AE PE_SALITY.AC-O PE_SALITY.AC PE_RESOURCER.A PE_PARITE.A PE_Generic PE_FUNLOVE.4099 PE_CORELINK.C-1 PE_BOBAX.AK PE_BOBAX.AI PE_BOBAX.AH PE_AGOBOT.AQM Cryp_PESpin TROJ_BUZUS.AGB

我々が発見した連携感染パターン ログイン作業 マルウェア名 DL:PE DL:TORJ DL:WORM 命令サーバ ポートスキャン 時間 PE_VIRUT.AV DL:TORJ TROJ_BUZUS.AGB DL:WORM WORM_SWTYMLAI.CD 命令サーバ ポートスキャン NICK JOIN ログイン作業 t0 t1 t2 t3 t4 時間

連携感染パターン この発見の何がすごいのか？ データ解析の効率化 マルウェア検出や対策への応用 複数のＭＷ間の相関を発見する必要性 1つのマルウェア： × 複数のマルウェア： ◎ データ解析の効率化 マルウェア検出や対策への応用 連携感染パターン

アソシエーション分析 X(前件部) ⇒ Y (結論部) という相関ルールを抽出するデータマイニング手法 支持度(Support)と確信度(Confidence)に最小値を設定する事で，膨大な組み合わせから，効率よくルールを抽出できる． 支持度 = ルールの出現率 確信度 = ルールの関連性の強さ Xという前提条件部が来るならば、Yという結論部も来る コンビニで例えると、ビールを購入する人は、新聞も購入するといったルールを発見できる

相関ルールの抽出例 X(おにぎり) → Y(お茶, お菓子) 支持度 = |X∩Y| / |N| = 4/7日 60 ％ 曜日 おにぎり パン お茶 ジュース お菓子 雑誌 月 3 2 1 火 水 木 5 金 4 土 日 単純な組み合わせなのでこの数だが、半数以下と見積もっても かなりの膨大な組み合わせを調べなければいけない |N| = 7 |X| = 5 |X∩Y| = ４ 16

8百兆の ルール Aprioriアルゴリズムの原理 抽出! 最小支持度 0.8 最小確信度 0.6 最小値を指定して枝刈りしていく おにぎり → お茶, お菓子 支持度 60 ％ 確信度 80 ％

実験目的と方法 パケットキャプチャデータとログデータを使用し，連携感染パターンを抽出 Aprioriで機械抽出し，手動解析と比較 実験1 マルウェア間の相関ルール 実験2 ダウンロードサーバ間の相関ルール ハニーポットや1年間での差はないか？ 実験3 ハニーポット間の差 実験4 観測期間の差

入力データ 各データは，約２０分間隔で１４５個のスロットに分割 各スロットを1 つのトランザクションとし，その間にDL されたMW の種類をそのトランザクションに生じるアイテムとみなして入力データとする スロット MW名 MW1 MW2 MW3 1 感染なし 2 MW4 … 144 20分間隔

入力データ ログデータ 実験４ 実験３ 実験１,実験２ 実験４ 観測期間によるパターンの変化 実験３ ハニーポット間の連携パターン ハニーポットID（Honey001～094） 001 002 003 004 094 2008/05 2008/06 2008/07 2009/02 2009/03 13日 14日 2009/04 1年間（365日） パケットキャプチャデータ 09年3月13日と14日 Honey003 実験４ 実験３ 実験１,実験２ 実験４　観測期間によるパターンの変化　 実験３　ハニーポット間の連携パターン　 実験２　ＤＬサーバ間の連携パターン 実験１　ＭＷ間の連携パターン 20

17/58 手動解析の結果 ルール 「 」 PE_VIRUT.AV TROJ_BUZUS.AGB WORM_SWTYMLAI.CD ならば 時刻 DLホストIPアドレス MW名 0:02:11 124.86.***.111 PE_VIRUT.AV 0:03:48 67.215.*.206 TROJ_BUZUS.AGB 72.10.***.195 WORM_SWTYMLAI.CD ルール 17/58 「 ならば PEをDLしたならば、TROJとWORMがDLされる 」 21

実験１ ＭＷの相関ルール抽出 手動の連携パターンを自動抽出！ 支持度 29.3％ = 17/58 最小支持度１０％ 最小確信度８０％ 5 最小支持度１０％　最小確信度８０％ 手動の連携パターンを自動抽出！ No. 前件部 結論部 支持 確信 5 PE_ VIRUT.AV TROJ_ BUZUS.AGB ⇒ WORM_ SWTYMLAI.CD 29.3 100 6 TROJ_ BUZUS.AGB No. 前件部 結論部 支持 確信 1 TROJ_BUZUS.AGB ⇒ WORM_SWTYMLAI.CD 41.4 100 2 46.6 88.9 3 BKDR_POEBOT.GN 10.3 4 5 PE_VIRUT.AV 29.3 6 支持度 29.3％ = 17/58

実験４ １年間での差はないか？ TROJではなくTSPYが上位に！ スロット数３以上 最小確信度８０％ PE PE_ VIRUT.AV スロット数３以上　最小確信度８０％ MW名 前件部 結論部 PE PE_ VIRUT.AV WORM_ SWTYMLAI.CD ⇒ TSPY_ KOLABC.CH TROJ TROJ_ BUZUS.AGB WORM TROJではなくTSPYが上位に！

実験４ １年間での差はないか？

連携感染期間 26.3日 実験２ 観測時期の差

結論 手動解析 連携感染パターンの発見 機械解析 実験1 手動解析と100％同様の結果を自動検出 実験4 連携感染期間は26.3日 手動 「PE→WO+TR」 17/58 機械 「PE+WO→TR」 & 「PE+TR→WO」 17/58 実験4 連携感染期間は26.3日 今後の課題 時系列を考慮したルールの抽出

入力データ 攻撃元データ 実験４ 実験３ 実験１,実験２ 実験４ 観測期間によるパターンの変化 実験３ ハニーポット間の連携パターン ハニーポットID（Honey001～096） 001 002 003 004 094 2008/05 2008/06 2008/07 2009/02 2009/03 13日 14日 2009/04 1年間（365日） 実験４ 攻撃通信データ 09年3月13日と14日 Honey003（XP） 実験３ 実験１,実験２ 実験４　観測期間によるパターンの変化　 実験３　ハニーポット間の連携パターン　 実験２　ＤＬサーバ間の連携パターン 実験１　ＭＷ間の連携パターン 28

実験２ ＤＬサーバの相関ルール 最小支持度１０％ 最小確信度５０％ 複数のＤＬサーバを使用するＭＷでは正確な連携パターンが抽出できない 1 最小支持度１０％　最小確信度５０％ 複数のＤＬサーバを使用するＭＷでは正確な連携パターンが抽出できない No. 前件部 結論部 支持 確信 対応MW 1 114.145.51.166 ⇒ 122.18.195.123 41.4 100 PE⇒PE 2 46.6 88.9 No. 前件部 結論部 支持 確信 対応MW 1 114.145.51.166 ⇒ 122.18.195.123 41.4 100 PE⇒PE 2 46.6 88.9 3 67.215.1.206 72.10.165.195 10.3 TROJ⇒WORM 4 72.10.166.195 WORM⇒TROJ なぜ50％なのか？80でも変わらない気がする 要調査 29

実験３ 観測地点間の差 スロット数３以上 最小確信度８０％ 1 TROJ_ BUZUS.AGB ⇒ WORM_ SWTYMLAI.CD 36 スロット数３以上　最小確信度８０％ No. 前件部 結論部 Honey数 1 TROJ_ BUZUS.AGB ⇒ WORM_ SWTYMLAI.CD 36 2 TROJ_ BUZUS.AGB 6 WORM_ SWTYMLAI.CD PE_ VIRUT.AV 7 No. 前件部 結論部 Honey数 1 TROJ_BUZUS.AGB ⇒ WORM_SWTYMLAI.CD 36 2 3 BKDR_VANBOT.GN 12 4 5 TROJ_DLOADR.CBK UNKNOWN 8 6 PE_VIRUT.AV 7

１台のハニーポットでしか観測されていないルールが多い 実験３ 観測地点間の差 １台のハニーポットでしか観測されていないルールが多い 複数のハニーポットで 観測されたルール

１台のハニーポットでしか観測されていないルールが多い 大規模なボットネットの可能性 実験３ 観測地点間の差 １台のハニーポットでしか観測されていないルールが多い 複数のハニーポットで 観測されたルール

マルウェア 「悪意ある不正ソフトウェア」 コンピュータに被害を起こすように設計されたソフトウェアの総称

ハッシュ値 ハッシュ値とはあるデータを、ハッシュ関数（MD5やSHA1など）と呼ばれる関数で演算した結果のことで、データサイズに関わらず、128～512ビット程度の一定の長さの値になる ハッシュ値の例 MD5(128bit): c2fb43a8e999fe9d1c8d070dc4f02b32 SHA1(160bit):53732fab13cbe0081e891e1fe19b9510e50b2ad9 ハッシュ値の特徴 異なるデータから同じハッシュ値はほとんど得られない ハッシュ値とハッシュ関数が分かっていても、データは復元できない

PE型 ファイル感染型ウイルス Windowsの実行形式ファイル「PEファイル」(Portable Executive file)に感染する 他のプログラムに寄生するため、単独でプログラムを実行したり複製は行わない

WORM型 自己増殖型ウイルス ユーザに気付かれないようにコンピュータに侵入し、破壊活動や別のコンピュータへの侵入などを行なう インターネットの普及により、電子メールやWebサイトなどを経由して、自動的に自分自身のコピーを拡散し、爆発的な速度で増殖する 作成が比較的容易であるため、亜種が多い 他のプログラムに寄生するわけではなく、単独で活動する

TROJ型 トロイの木馬型ウイルス 有益なソフトウェアだと偽ってユーザに実行させ、コンピュータへ侵入し、データ消去やファイルの外部流出、他のコンピュータの攻撃などの破壊活動を行なう 他のウイルスをダウンロードし、感染させるものもある 他のプログラムに寄生するわけではなく、単独で活動し、自分自身での増殖活動も行わない

TSPY型(Trojan Spyware) トロイの木馬型ウイルスの一種で、パスワード窃盗型に分類される 主に情報漏洩に繋がる不正活動を行うもので、パスワードなど重要な情報を盗むことを目的とする 一般的にスパイウェアと呼ばれる場合がある

BKDR型 トロイの木馬型ウイルスの一種で、バックドア型に分類される 感染するとコンピュータを外部から操作できるような侵入口を用意する ユーザに気付かれずにコンピュータの遠隔操作を可能とし、別のコンピュータへの侵入など不正活動に利用される