6W-01
Windows APIコールログからのマルウェアの動作再現について
○港 和人,福田洋治(近畿大),廣友雅徳(佐賀大),毛利公美(岐阜大),白石善明(神戸大)
誘導型攻撃を受け、マルウェアが設置された結果、生じたセキュリティインシデントの初動対応、調査、封じ込め、根絶、復旧が完了し、事態が終息した後、再発防止策を講じるが、これを徹底するのは手間を要する。ノートPC、タブレット等の端末において、影響を排除したかたちでマルウェアの動きを再現できれば、例えば、ある端末環境で当該マルウェアと同じ動きをAMSで検知できるかテストし、AMSの対応状況を確認する用途が考えられる。本研究では、マルウェアの実行解析のログ(時系列のAPIコールのログ)から、その順番でAPIコールを実行、動作を再現するという、マルウェアの動作を再現するツールを試作、動作実験を行い有用性を確認する。
footer 著作権について 倫理綱領 プライバシーポリシー セキュリティ 情報処理学会