大規模なソフトウェア開発において，OSS（オープンソースソフトウェア）を取り入れた開発が盛んである．通常，OSSは静的解析ツール等によって信頼性が担保されるが，colors.jsパッケージの事例の様に作者による意図的な不正コードの挿入の検出は難しい．本稿では，こうした不正コードの挿入に対して，ソースコード内で正当な動作が記されたコメント文とソースコードがある場合に，UniXcoderを用いてそれぞれの分散表現を算出し，その関連度から不正命令部分を特定する手法を提案している．CodeSearchNetを用いた評価実験では，関数の行数が少ない場合に有効であることを示した．