著者

松木 隆宏 新井 悠 寺田 真敏 土居 範久

雑誌

情報処理学会論文誌 (ISSN:18827764)

巻号頁・発行日

vol.50, no.9, pp.2118-2126, 2009-09-15

---

近年,ウイルス対策ソフトウェアによる検知やパターンファイルの作成に必要となる解析を妨害する機能を有したマルウェアが出現している.特に,ボットの場合にはC&C(コマンド&コントロール)サーバの情報や指令コマンド等の解析作業を妨害するため,解析作業の兆候を検知した場合に,自己の動作を意図的に停止するマルウェアの存在も報告されている.このような耐解析機能は,ウイルス対策ベンダやセキュリティ研究者らによるマルウェアの解析時間を増加させ,結果としてマルウェアによるユーザの被害の拡大につながってしまうことになる.本論文では,耐解析機能を備えたマルウェアによるユーザの被害を低減させることを目的とした新しい対策アプローチを提案する.提案方式は,マルウェアの耐解析機能が動作した際に自己の動作を停止する性質に着目し,これを逆用してマルウェアの動作を抑止する方式である.まず,提案方式の実現例として,耐解析機能の1つであるデバッガ検知機能を逆用し,マルウェアの活動を抑止する手法を示す.次に,デバッガ検知機能を逆用するプロトタイプシステムを実装し,ハニーポットで収集したマルウェア検体を用いた評価を通じて,提案方式の有効性を示す.