文献

J-GLOBAL ID：201502293731957203   整理番号：15A0531741

ファイル構造検査による悪性MS文書ファイルの検知

Methods to Detect Malicious MS Document File Using File Structure Inspection

著者 (3件)： 大坪雄平 (警察庁) ,  三村守 (情報セキュリティ大学院大) ,  田中英彦 (情報セキュリティ大学院大)
資料名： 情報処理学会論文誌ジャーナル(Web)
巻： 55  号： 5  ページ： 1530-1540 (WEB ONLY)  発行年： 2014年05月15日 
JST資料番号： U0452A  ISSN： 1882-7764  資料種別： 逐次刊行物 (A)
記事区分： 原著論文  発行国： 日本 (JPN)  言語： 日本語 (JA)

抄録/ポイント： 今日,標的型攻撃は増加傾向にあり,多くの組織にとって真の脅威となってきている。標的型攻撃には様々な手法があるが,受信者の興味を引くメールにマルウェアを添付する方式が最も一般的である。攻撃を秘匿するため,実行ファイルが文書ファイルに埋め込まれた場合,一般に,受信者には通常の文書ファイルと区別する手段がない。我々が実行ファイルが埋め込まれた悪性MS文書ファイル(Rich TextまたはCompound File Binary)を分析したところ,多くの悪性MS文書ファイルで通常のMS文書ファイルとファイル構造に違いがあることが分かった。本論文では,悪性MS文書ファイルの検知手法として,幾種かのファイル構造検査をすることを提案する。提案手法の有効性を検証する実験を行った結果,98.5%の悪性MS文書ファイルを検知することができた。ファイル構造は攻撃者の意志で変更させることが困難であることから,提案するRich TextおよびCFB形式の悪性文書ファイルの検知手法は長期にわたり有効である。(著者抄録)

シソーラス用語： *計算機ファイル ,  *コンピュータセキュリティ ,  攻撃行動 ,  文書 ,  実証実験 ,  データ構造 ,  データ保護 ,  人間 ,  データフォーマット ,  サイバー攻撃
準シソーラス用語： ファイル構造 ,  攻撃【情報】 ,  攻撃者

分類 (2件)： 計算機システム開発  (JD02010R) ,  データ保護  (JD01020V)

引用文献 (14件)：

• 経済産業省:最近の動向を踏まえた情報セキュリティ対策の提示と徹底(online),入手先〈http://www.meti.go.jp/press/2011/05/20110527004/20110527004.html>(参照2013-05-08).
• Microsoft: Rich Text Format (RTF) Specification, version 1.9.1 (online), available from (http://www.microsoft.com/en-us/download/details.aspx?id=10725) (accessed 2013-05-22).
• Microsoft: [MS-CFB]: Compound File Binary File Format (online), available from (http://msdn.microsoft.com/en-us/library/dd942138.aspx) (accessed 2013-05-22).
• Stolfo, S.J., Wang, K. and Li, W.J.: Towards Stealthy Malware Detection, Advances in Information Security, Vol.27, pp.231-249 (2007).
• Li, W.J., Stolfo, S.J., Stavrou, A., Androulaki, E. and Keromytis, A.D.: A Study of Malcode-Bearing Documents, Detection of Intrusions and Malware and Vulnerability Assessment (DIMVA), Vol.4 of Lecture Notes in Computer Science, pp.231-250 (2007).

タイトルに関連する用語 (3件)： ファイル ,  検査 ,  文書