WEKO3
-
RootNode
アイテム
ファイル構造検査による悪性MS文書ファイルの検知
https://ipsj.ixsq.nii.ac.jp/records/101181
https://ipsj.ixsq.nii.ac.jp/records/101181f56dbeca-deae-44e3-9416-ebb300b42296
| 名前 / ファイル | ライセンス | アクション |
|---|---|---|
IPSJ-JNL5505009.pdf (633.6 kB)
|
Copyright (c) 2014 by the Information Processing Society of Japan
|
|
| オープンアクセス | ||
| Item type | Journal(1) | |||||||
|---|---|---|---|---|---|---|---|---|
| 公開日 | 2014-05-15 | |||||||
| タイトル | ||||||||
| タイトル | ファイル構造検査による悪性MS文書ファイルの検知 | |||||||
| タイトル | ||||||||
| 言語 | en | |||||||
| タイトル | Methods to Detect Malicious MS Document File Using File Structure Inspection | |||||||
| 言語 | ||||||||
| 言語 | jpn | |||||||
| キーワード | ||||||||
| 主題Scheme | Other | |||||||
| 主題 | [一般論文] 標的型攻撃,マルウェア,MS文書ファイル,静的解析,検知 | |||||||
| 資源タイプ | ||||||||
| 資源タイプ識別子 | http://purl.org/coar/resource_type/c_6501 | |||||||
| 資源タイプ | journal article | |||||||
| 著者所属 | ||||||||
| 警察庁 | ||||||||
| 著者所属 | ||||||||
| 情報セキュリティ大学院大学 | ||||||||
| 著者所属 | ||||||||
| 情報セキュリティ大学院大学 | ||||||||
| 著者所属(英) | ||||||||
| en | ||||||||
| NPA | ||||||||
| 著者所属(英) | ||||||||
| en | ||||||||
| IISEC | ||||||||
| 著者所属(英) | ||||||||
| en | ||||||||
| IISEC | ||||||||
| 著者名 |
大坪, 雄平
三村, 守
田中, 英彦
× 大坪, 雄平 三村, 守 田中, 英彦
|
|||||||
| 著者名(英) |
Yuhei, Otsubo
Mamoru, Mimura
Hidehiko, Tanaka
× Yuhei, Otsubo Mamoru, Mimura Hidehiko, Tanaka
|
|||||||
| 論文抄録 | ||||||||
| 内容記述タイプ | Other | |||||||
| 内容記述 | 今日,標的型攻撃は増加傾向にあり,多くの組織にとって真の脅威となってきている.標的型攻撃には様々な手法があるが,受信者の興味を引くメールにマルウェアを添付する方式が最も一般的である.攻撃を秘匿するため,実行ファイルが文書ファイルに埋め込まれた場合,一般に,受信者には通常の文書ファイルと区別する手段がない.我々が実行ファイルが埋め込まれた悪性MS文書ファイル(Rich TextまたはCompound File Binary)を分析したところ,多くの悪性MS文書ファイルで通常のMS文書ファイルとファイル構造に違いがあることが分かった.本論文では,悪性MS文書ファイルの検知手法として,幾種かのファイル構造検査をすることを提案する.提案手法の有効性を検証する実験を行った結果,98.5%の悪性MS文書ファイルを検知することができた.ファイル構造は攻撃者の意志で変更させることが困難であることから,提案するRich TextおよびCFB形式の悪性文書ファイルの検知手法は長期にわたり有効である. | |||||||
| 論文抄録(英) | ||||||||
| 内容記述タイプ | Other | |||||||
| 内容記述 | Today, the number of targeted attacks is increasing, and targeted attacks are becoming a serious threat for many organizations. There are various kinds of targeted attacks. Above all, a method to attach malware to interesting e-mail for the recipient is the most popular. In general, there is no way to distinguish a malicious document file from a normal one, because an executable file is embedded in a document file to hide oneself during an attack. We analyzed malicious MS document (Rich Text or Compound File Binary) files containing an executable file. Then, we found that there are differences in file structure between normal MS document files and malicious ones. In this paper, we propose detection methods of malicious MS document files using file structure inspection. The experimental result shows the effectiveness of the methods. The methods could detect 98.5% of the malicious MS document files in the experiment. The methods are effective in the detection of malicious Rich Text files and malicious CFB files over a long time. Because the attacker is almost not able to alter a file structure. | |||||||
| 書誌レコードID | ||||||||
| 収録物識別子タイプ | NCID | |||||||
| 収録物識別子 | AN00116647 | |||||||
| 書誌情報 |
情報処理学会論文誌 巻 55, 号 5, p. 1530-1540, 発行日 2014-05-15 |
|||||||
| ISSN | ||||||||
| 収録物識別子タイプ | ISSN | |||||||
| 収録物識別子 | 1882-7764 | |||||||
