MiraiをはじめとするIoTマルウェアの中には，ソースコードが公開されているものが存在し，多くの亜種が観測されている．亜種に加えられた攻撃機能の変化を把握することは，セキュリティ対策につながると同時に，攻撃者の動向把握を可能にする．本稿では，約2年半に渡ってハニーポットを運用し，IoTマルウェア配布サーバの特定及び検体の収集を継続して行った．収集した検体のうち，同じ名前が付けられたMirai亜種を攻撃関数に着目して静的解析したところ，多くの検体が共通の攻撃機能を保持することが判明した．一方で，一部の検体は独自の攻撃関数を持つことが判明し，攻撃者による攻撃機能の改変が確認できた．