MiraiをはじめとするIoTマルウェアの中には，ソースコードが公開されたものも存在しており，直近に公表された脆弱性を悪用するものなど，数多くの亜種が生み出されている．このことから，今後も，状況の変化に応じて新たな亜種が出現すると推測することができる．亜種に加えられた変化を明らかにすることは，セキュリティ対策につながると同時に，攻撃者の動向把握を可能にする．本論文では，ハニーポットによって特定したIoTマルウェア配布サーバを継続的に監視することで，一部のサーバにおいてファイルの更新を観測した．また，ファイルの差分に着目した静的解析によって，更新されたファイルに起きた攻撃機能の変化を調査した．