著者

大坪 雄平 三村 守 田中 英彦

雑誌

情報処理学会論文誌 (ISSN:18827764)

巻号頁・発行日

vol.55, no.5, pp.1530-1540, 2014-05-15

---

今日,標的型攻撃は増加傾向にあり,多くの組織にとって真の脅威となってきている.標的型攻撃には様々な手法があるが,受信者の興味を引くメールにマルウェアを添付する方式が最も一般的である.攻撃を秘匿するため,実行ファイルが文書ファイルに埋め込まれた場合,一般に,受信者には通常の文書ファイルと区別する手段がない.我々が実行ファイルが埋め込まれた悪性MS文書ファイル(Rich TextまたはCompound File Binary)を分析したところ,多くの悪性MS文書ファイルで通常のMS文書ファイルとファイル構造に違いがあることが分かった.本論文では,悪性MS文書ファイルの検知手法として,幾種かのファイル構造検査をすることを提案する.提案手法の有効性を検証する実験を行った結果,98.5%の悪性MS文書ファイルを検知することができた.ファイル構造は攻撃者の意志で変更させることが困難であることから,提案するRich TextおよびCFB形式の悪性文書ファイルの検知手法は長期にわたり有効である.