- 著者
-
大坪雄平
三村守
田中英彦
- 出版者
- 一般社団法人情報処理学会
- 雑誌
- 研究報告インターネットと運用技術(IOT) (ISSN:09196072)
- 巻号頁・発行日
- vol.2013, no.16, pp.1-6, 2013-07-25
今日,標的型攻撃は増加傾向にあり,多くの組織にとって真の脅威となってきている.標的型攻撃には様々な手法があるが,受信者の興味を引くメールにマルウェアを添付する方式が最も一般的である.攻撃を秘匿するため,マルウェアが文書ファイルに埋め込まれた場合,一般に,受信者にはマルウェアを見抜く手段がない.われわれが実行ファイル形式のマルウェアが埋め込まれた悪性 MS 文書ファイル (Rich Text または Compound File Binary) を分析したところ,多くの悪性 MS 文書ファイルで通常の MS 文書ファイルとファイル構造に違いがあることが分かった.本論文では,悪性 MS 文書ファイルの検知手法として,ファイル構造検査をすることを提案する.具体的には,5 種類の新しいマルウェア検知法を提案する.提案の有効性を検証する実験を行った結果,98.4% の悪性 MS 文書ファイルを検知することができた.Today, the number of targeted attacks is increasing, and targeted attacks are becoming a serious threat for many organizations. There are various kinds of targeted attacks. Above all, a method to attach malware to interesting e-mail for the recipient is the most popular. In general, there is no way to distinguish a malicious document file from a normal one, because malware is embedded in a document file to hide oneself during an attack. We analyzed malicious MS document (Rich Text or Compound File Binary) files containing malware. Then, we found that there are differences in file structure between normal MS document files and malicious ones. In this paper, we propose detection methods of malicious MS document files using file structure inspection. Specifically, we propose five novel malware detection methods. The experimental result shows the effectiveness of the methods. The methods could detect 98.4% of the malicious MS document files in the experiment.