WO2022079821A1

WO2022079821A1 - 判定装置、判定方法および判定プログラム

Info

Publication number: WO2022079821A1
Application number: PCT/JP2020/038730
Authority: WO
Inventors: 弘樹中野; 大紀千葉
Original assignee: 日本電信電話株式会社
Priority date: 2020-10-14
Filing date: 2020-10-14
Publication date: 2022-04-21
Also published as: EP4213048A1; EP4213048A4; US20230388337A1; JP7459961B2; JPWO2022079821A1

Abstract

算出部（１５ｄ）が、所定の期間に、ユーザにより生成されるユーザ生成コンテンツの特徴量を算出する。学習部（１５ｅ）が、算出された正規ユーザにより生成されるユーザ生成コンテンツの特徴量と、悪性ユーザにより生成されるコンテンツの特徴量とを用いて学習する。判定部（１５ｆ）が、学習されたモデルにより、ユーザ生成コンテンツが悪性ユーザにより生成されたものか否かを判定する。

Description

判定装置、判定方法および判定プログラム

　本発明は、判定装置、判定方法および判定プログラムに関する。

　Ｗｅｂ上の脅威として、ユーザ心理の脆弱性を悪用するソーシャルエンジニアリング（ＳＥ）攻撃が主流となりつつある。そして、悪性なＷｅｂサイトへの誘導経路として、攻撃者がオンラインサービスで生成してＷｅｂ上に投稿する動画、ブログ、掲示板への書き込み等のユーザ生成コンテンツが増加している。

　一方、攻撃者の生成するユーザ生成コンテンツは、特定のコンサートやスポーツ等のイベントをターゲットにリアルタイムで集中的に大量に生成され、多数のサービス上で正規ユーザを装って拡散される。そのため、迅速で精度が高い広範囲の検知技術が期待されている。

　例えば、従来、特定のサービスについて、特徴量を用いて悪性サイトを判定する技術が開示されている（非特許文献１、２参照）。

Hongyu　Gao,　et　al.,　"Towards　Online　Spam　Filtering　in　Social　Networks"、[online]、［2019年7月27日検索］、インターネット<URL：http://cucis.ece.northwestern.edu/publications/pdf/GaoChe12.pdf> Sangho　Lee,　Jong　Kim,　"WARNINGBIRD:　Detecting　Suspicious　URLs　in　Twitter　Stream"、[online]、［2020年7月27日検索］、インターネット<URL：https://www.ndss-symposium.org/wp-content/uploads/2017/09/11_1.pdf>

　しかしながら、従来技術によれば、検知精度、検知速度、検知範囲の観点で不十分であった。例えば、非特許文献１に記載の技術では、多様な攻撃を捉えるためには、検知のための特徴量の設計が適切でなく、検知精度、検知範囲が不十分であった。また、非特許文献２に記載の技術では、全てのＵＲＬにアクセスすることを前提とした特徴量を用いているために、検知速度が不十分であり、また検知精度も不十分であった。

　本発明は、上記に鑑みてなされたものであって、悪性サイトの検知を迅速かつ精度高く行うことを目的とする。

　上述した課題を解決し、目的を達成するために、本発明に係る判定装置は、所定の期間に、ユーザにより生成されるユーザ生成コンテンツの特徴量を算出する算出部と、算出された正規ユーザにより生成されるユーザ生成コンテンツの特徴量と、悪性ユーザにより生成されるコンテンツの特徴量とを用いて学習する学習部と、学習されたモデルにより、ユーザ生成コンテンツが悪性ユーザにより生成されたものか否かを判定する判定部と、を有することを特徴とする。

　本発明によれば、悪性サイトの検知を迅速かつ精度高く行うことが可能となる。

図１は、本実施形態の検知装置の概要を説明するための図である。図２は、本実施形態の検知装置の概略構成を例示する模式図である。図３は、収集機能部の処理を説明するための図である。図４は、生成部の処理を説明するための図である。図５は、判定機能部の処理を説明するための図である。図６は、算出部の処理を説明するための図である。図７は、算出部の処理を説明するための図である。図８は、算出部の処理を説明するための図である。図９は、算出部の処理を説明するための図である。図１０は、抽出機能部の処理を説明するための図である。図１１は、脅威情報を説明するための図である。図１２は、脅威情報を説明するための図である。図１３は、収集機能部の処理手順を示すフローチャートである。図１４は、判定機能部の処理手順を示すフローチャートである。図１５は、判定機能部の処理手順を示すフローチャートである。図１６は、抽出機能部の処理手順を示すフローチャートである。図１７は、抽出機能部の処理手順を示すフローチャートである。図１８は、検知プログラムを実行するコンピュータの一例を示す図である。

　以下、図面を参照して、本発明の一実施形態を詳細に説明する。なお、この実施形態により本発明が限定されるものではない。また、図面の記載において、同一部分には同一の符号を付して示している。

［検知装置の概要］
　図１は検知装置の概要を説明するための図である。本実施形態の検知装置１は、Ｆａｃｅｂｏｏｋ（登録商標）、Ｔｗｉｔｔｅｒ（登録商標）等のオンラインサービスにおいて、ユーザが生成してＷｅｂ上に投稿する動画、ブログ、掲示板書き込み等のユーザ生成コンテンツを収集し、解析を行う。

　具体的には、攻撃者が、ユーザが注目するイベントに対して集中的に大量のユーザ生成コンテンツを生成して拡散すること、また、ユーザが悪性サイトにアクセスしたくなるような類似の文脈でユーザ生成コンテンツを生成することに着目する。

　そこで、検知装置１は、攻撃者によるユーザ生成コンテンツは、特定のタイミングに類似した文脈で拡散されるという特徴を用いて、攻撃者による悪性のものである可能性の高いユーザ生成コンテンツを効率よく収集し、悪性か否かの解析を行う。また、検知装置１は、解析の結果、悪性のユーザ生成コンテンツであると判定された場合に、この悪性のユーザ生成コンテンツから、脅威となり得る特徴である脅威情報を抽出し、脅威レポートを出力する。

　例えば、検知装置１は、ユーザ生成コンテンツの類似した文脈を抽出して検索クエリを生成し、検索クエリを用いて悪性である可能性が高いユーザ生成コンテンツを効率よく収集する。また、特定のサービスに特化して、攻撃者が生成するユーザ生成コンテンツと正規ユーザが生成するユーザ生成コンテンツとの特徴差を学習することにより、同時期に生成された特定のサービスの大量のユーザ生成コンテンツの悪性判定を行う。

　また、検知装置１は、任意のサービスにおいて、攻撃者が生成するユーザ生成コンテンツと正規ユーザが生成するユーザ生成コンテンツとについて、ユーザ生成コンテンツに記載されているＵＲＬにアクセスして得られるＷｅｂコンテンツの特徴差を学習する。そして、検知装置１は、学習した特徴差を用いて、同時期に任意のサービスで大量に生成されたユーザ生成コンテンツについて、悪性判定を行う。

　また、検知装置１は、悪性のユーザ生成コンテンツであると判定された場合に、この悪性のユーザ生成コンテンツから、脅威となり得る特徴である脅威情報を抽出し、脅威レポートを出力する。このようにして、検知装置１は、脅威となり得る攻撃をリアルタイムに検知する。

［検知装置の構成］
　図２は、本実施形態の検知装置の概略構成を例示する模式図である。図２に例示するように、本実施形態の検知装置１は、収集機能部１５Ａ、判定機能部１５Ｂおよび抽出機能部１５Ｃを含んで構成される。これらの各機能部は、検知装置１とは異なるハードウェアに実装されてもよい。すなわち、検知装置１は、収集装置、判定装置および抽出装置を有する検知システムとして実装されてもよい。

　検知装置１は、パソコン等の汎用コンピュータで実現され、入力部１１、出力部１２、通信制御部１３、記憶部１４、および制御部１５を備える。

　入力部１１は、キーボードやマウス等の入力デバイスを用いて実現され、操作者による入力操作に対応して、制御部１５に対して処理開始などの各種指示情報を入力する。出力部１２は、液晶ディスプレイなどの表示装置、プリンター等の印刷装置等によって実現される。例えば、出力部１２には、後述する検知処理の結果が表示される。

　通信制御部１３は、ＮＩＣ（Network　Interface　Card）等で実現され、ＬＡＮ（Local　Area　Network）やインターネットなどの電気通信回線を介した外部の装置と制御部１５との通信を制御する。例えば、通信制御部１３は、各サービスのユーザ生成コンテンツ等を管理するサーバ等と制御部１５との通信を制御する。

　記憶部１４は、ＲＡＭ（Random　Access　Memory）、フラッシュメモリ（Flash　Memory）等の半導体メモリ素子、または、ハードディスク、光ディスク等の記憶装置によって実現される。記憶部１４には、検知装置１を動作させる処理プログラムや、処理プログラムの実行中に使用されるデータなどが予め記憶され、あるいは処理の都度一時的に記憶される。なお、記憶部１４は、通信制御部１３を介して制御部１５と通信する構成でもよい。

　本実施形態において、記憶部１４は、後述する検知処理の結果として得られる脅威情報等を記憶する。また、記憶部１４は、検知処理に先立って、後述する取得部１５ａが各サービスのサーバ等から取得したユーザ生成コンテンツを記憶してもよい。

　図２の説明に戻る。制御部１５は、ＣＰＵ（Central　Processing　Unit）等を用いて実現され、メモリに記憶された処理プログラムを実行する。これにより、制御部１５は、図２に例示するように、収集機能部１５Ａ、判定機能部１５Ｂおよび抽出機能部１５Ｃとして機能する。

　収集機能部１５Ａは、取得部１５ａ、生成部１５ｂおよび収集部１５ｃを含む。また、判定機能部１５Ｂは、算出部１５ｄ、学習部１５ｅおよび判定部１５ｆを含む。また、抽出機能部１５Ｃは、抽出部１５ｇ、学習部１５ｅおよび判定部１５ｆを含む。

　なお、これらの機能部は、それぞれ、あるいは一部が異なるハードウェアに実装されてもよい。例えば、上記したように、収集機能部１５Ａ、判定機能部１５Ｂ、抽出機能部１５Ｃが、それぞれ収集装置、判定装置、抽出装置として異なるハードウェアに実装されてもよい。また、制御部１５は、その他の機能部を備えてもよい。

［収集機能部］
　図３は、収集機能部の処理を説明するための図である。図３に示すように、収集機能部１５Ａは、あるサービスで同時期に生成されたユーザ生成コンテンツ群から類似した文脈をキーフレーズとして抽出して検索クエリを生成する。また、収集機能部１５Ａは、生成した悪性である可能性の高いキーフレーズの検索クエリを用いて、悪性である可能性が高い任意のサービスのユーザ生成コンテンツを効率よく収集する。

　図２の説明に戻る。取得部１５ａは、所定の期間に各サービスにおいて生成されるユーザ生成コンテンツを取得する。具体的には、取得部１５ａは、入力部１１あるいは通信制御部１３を介して、各サービスのサーバ等から、ユーザ生成コンテンツを取得する。

　例えば、取得部１５ａは、所定のサービスについて、ＵＲＬが記載されているユーザ生成コンテンツを取得する。その際に、取得部１５ａは、所定の時間ごとに定常的に、あるいは、“ｓｉｎｃｅ”、“ｕｎｔｉｌ”を用いて投稿された時間を指定して、ユーザ生成コンテンツを取得してもよい。また、取得部１５ａは、“ｆｉｌｔｅｒｓ”を用いてＵＲＬが記載されているユーザ生成コンテンツに限定して取得してもよい。これにより、取得部１５ａは、リアルタイムに外部のサイトのＵＲＬが記載されているユーザ生成コンテンツを取得することが可能となる。

　なお、取得部１５ａは、例えば、後述する生成部１５ｂの処理に先立って、取得したユーザ生成コンテンツを記憶部１４に記憶させてもよい。

　生成部１５ｂは、サービスごとのユーザ生成コンテンツに出現する単語を用いて、検索クエリを生成する。例えば、生成部１５ｂは、出現する単語の組み合わせを用いて検索クエリを生成する。

　具体的には、生成部１５ｂは、取得されたユーザ生成コンテンツを、所定の次元数の特徴ベクトルに変換する。例えば、生成部１５ｂは、ユーザ生成コンテンツに出現する語彙すなわち出現する単語の総体を表すベクトル空間で、各ユーザコンテンツに出現する単語の組み合わせを表す単語の分散表現のベクトルを、当該ユーザ生成コンテンツの特徴ベクトルとする。そして、生成部１５ｂは、単語の分散表現のモデルを予め学習し、文章要約技術を適用する。つまり、文章要約技術により、対象とする文章（テキスト）全体の分散表現と類似した分散表現の単語の組み合わせをキーフレーズとして抽出する。

　これにより、生成部１５ｂは、各ユーザ生成コンテンツの文脈を表すキーフレーズを抽出する。また、生成部１５ｂは、抽出したキーフレーズを含むユーザ生成コンテンツを検索するための検索クエリを生成する。

　具体的には、生成部１５ｂは、次式（１）に従って、ユーザ生成コンテンツのテキスト全体とキーフレーズ候補との間の類似度を算出する。ここで、ｄｏｃは対象とする文章全体、Ｃはキーフレーズ候補、Ｋは抽出された単語の組み合わせ（フレーズ）の集合である。

　上記式（１）において、λを変化させることにより、多様なキーフレーズを抽出することが可能となる。

　例えば、生成部１５ｂは、テキストから連続するｎ個の単語を抽出するｎ－ｇｒａｍの手法により、単語の組み合わせを抽出する。そして、生成部１５ｂは、上記式（１）によりユーザ生成コンテンツのテキスト全体と抽出したｎ－ｇｒａｍの各フレーズとの間のコサイン類似度を算出し、算出した類似度の値が所定の閾値より高いフレーズのうち最大のものをキーフレーズとして抽出する。

　ここで、図４は、生成部１５ｂの処理を説明するための図である。図４に示す例では、生成部１５ｂは、３－ｇｒａｍにより単語の組み合わせを抽出している。また、生成部１５ｂは、ユーザ生成コンテンツのテキスト全体「Ｊａｐａｎ　ｖｓ　Ｕｎｉｂｔｅｄ　Ｓｔａｔｅｓ　Ｆｒｅｅ　ｌｉｖｅ　ｓｔｒｅａｍｉｎｇ　ｃｌｉｃｋ　ｈｅｒｅ」と各３－ｇｒａｍのフレーズ「ｊａｐａｎ　ｖｓ　ｕｎｉｔｅｄ」、「ｖｓ　ｕｎｉｔｅｄ　ｓｔａｔｅｓ」、「ｕｎｉｔｅｄ　ｓｔａｔｅｓ　ｆｒｅｅ」、…との間のコサイン類似度を算出することにより、キーフレーズを抽出する。

　あるいは、生成部１５ｂは、各単語の出現する頻度を用いて検索クエリを生成する。例えば、生成部１５ｂは、所定の期間に取得されたユーザ生成コンテンツのテキストにおいて、２－ｇｒａｍのフレーズと３－ｇｒａｍのフレーズとの出現する頻度を集計する。そして、生成部１５ｂは、出現する頻度が所定の閾値以上のフレーズをキーフレーズとして抽出し、キーフレーズを含むユーザ生成コンテンツを検索するための検索クエリを生成する。

　例えば、生成部１５ｂは、３月１日の２４時間に、１時間ごとに投稿された全ユーザ生成コンテンツのテキストから３－ｇｒａｍのフレーズを抽出し、各フレーズの出現頻度を算出する。次に、生成部１５ｂは、翌日３月２日の０時－１時の１時間のユーザ生成コンテンツに出現した３－ｇｒａｍのフレーズのうち、統計的に異常な値（外れ値）のものをキーフレーズとして抽出する。つまり、生成部１５ｂは、通常は出現しないフレーズを含むユーザ生成コンテンツが特定のタイミングに大量に投稿された場合に、このフレーズをキーフレーズとする。

　例えば、生成部１５ｂは、ｚ－ｓｃｏｒｅを用いて正の外れ値を算出する。図４に示した例において、フレーズ「ｊａｐａｎ　ｖｓ　ｕｎｉｔｅｄ」について、３月１日の２４時間の１時間ごとの出現回数が、それぞれ０，０，０，２，４，１０，２，５，１０，２，４，５，６，２，２，５，１２，２０，１５，２０，１０，２０，２５，３０であったとする。この場合の平均は８．７９２回、標準偏差は８．６０２である。

　また、３月２日の０時－１時の１時間にこのフレーズが５０回出現したとする。この場合のｚ－ｓｃｏｒｅは、Ｚ＝（５０－８．７９２）／８．６０２＝４．７９０と算出される。また、外れ値の閾値が、有意な出現頻度５％に対応する１．９６である場合には、生成部１５ｂは、このフレーズ「ｊａｐａｎ　ｖｓ　ｕｎｉｔｅｄ」をキーフレーズとして、このキーフレーズを含むユーザ生成コンテンツを検索する検索クエリを生成する。

　また、生成部１５ｂは、サービスごとに悪性になり得る検索クエリを選定する。例えば、生成部１５ｂは、サービスごとに直近に悪性と判定されたユーザ生成コンテンツの検索に用いられた検索クエリに基づいて、生成した検索クエリの悪性度を算出する。そして、生成部１５ｂは、悪性度が所定の閾値以上の検索クエリを当該サービスの検索クエリとして選定する。

　ここで、生成部１５ｂは、検索クエリの悪性度として、過去２４時間に、この検索クエリを用いて検索され、悪性または良性と判定されたユーザ生成コンテンツの数を用いて、悪性と判定されたユーザ生成コンテンツ数の割合を算出する。また、生成部１５ｂは、キーフレーズの単語ごとの悪性度の平均値を、検出クエリの悪性度とみなして算出する。

　例えば、過去２４時間にあるサービスにおいて、キーフレーズ「ｒｕｇｂｙ　ｗｏｒｌｄ　ｃｕｐ　ｓｔｒｅａｍｉｎｇ」の検索クエリによって検索された悪性のユーザ生成コンテンツ数が２０、良性のユーザ生成コンテンツ数が５０であったとする。また、キーフレーズ「ｆｒｅｅ　ｌｉｖｅ　ｓｔｒｅａｍｉｎｇ」の検索クエリによって検索された悪性のユーザ生成コンテンツ数が１００、良性のユーザ生成コンテンツ数が１００であったとする。また、キーフレーズ「ｒｕｇｂｙ　ｊａｐａｎ　ｖｓ　ｋｏｒｅａ」の検索クエリによって検索された悪性のユーザ生成コンテンツ数が１０、良性のユーザ生成コンテンツ数が１００であったとする。

　この場合に、単語「ｊａｐａｎ」の悪性度は、α＝１０/（１０＋１００）となる。また、単語「ｒｕｇｂｙ」の悪性度は、β＝｛２０/（２０＋５０）＋１０/（１０＋１００）｝／２となる。また、また、単語「ｓｔｒｅａｍｉｎｇ」の悪性度は、γ＝｛２０/（２０＋５０）＋１００/（１００＋１００）｝／２となる。

　したがって、キーフレーズ「ｊａｐａｎ　ｒｕｇｂｙ　ｓｔｒｅａｍｉｎｇ」の検索クエリの悪性度のスコアは、（α＋β＋γ）／３＝０．２２５と算出される。

　このようにして、生成部１５ｂは、サービスごとに検索クエリの悪性度を算出し、算出した悪性度が閾値以上である検索クエリを、当該サービスの悪性となり得るユーザ生成コンテンツの検索クエリとして選定する。

　収集部１５ｃは、生成された検索クエリを用いて、複数のサービスにおいて生成されるユーザ生成コンテンツを収集する。例えば、収集部１５ｃは、あるサービスのユーザ生成コンテンツで生成された検索クエリを用いて、他のサービスのユーザ生成コンテンツを収集する。また、収集部１５ｃは、各サービスにおいても、複数の種類のユーザ生成コンテンツを、同一の検索クエリを用いて、生成された日時とともに収集する。

　例えば、収集部１５ｃは、文章投稿、動画投稿およびイベント告知のユーザ生成コンテンツが生成されるサービスａに対して、同一の検索クエリを３種類の収集ＵＲＬに適用して、３種類のそれぞれのユーザ生成コンテンツを投稿（生成）された日時とともに収集する。また、動画投稿および動画配信のユーザ生成コンテンツが生成されるサービスｂに対して、同一の検索クエリを共通の収集ＵＲＬに適用して、２種類のユーザ生成コンテンツを投稿された日時とともに収集する。

　これにより、収集部１５ｃは、特定のタイミングに類似した文脈で拡散されるユーザ生成コンテンツを効率よく収集することが可能となる。特に、収集部１５ｃは、生成部１５ｂが選定した悪性となり得る検索クエリを用いることにより、サービスごとに悪性の可能性が高いユーザ生成コンテンツを容易かつ迅速に収集することが可能となる。

　なお、収集部１５ｃは、例えば１時間当あたり１００クエリというように、収集量に上限を設けてユーザ生成コンテンツの収集を行う。これにより、収集先である各サービスのサーバの負荷を軽減することが可能となる。

［判定機能部］
　図５は、判定機能部の処理を説明するための図である。図５に示すように、判定機能部１５Ｂは、特定のサービスについて、攻撃者が生成するユーザ生成コンテンツと正規ユーザが生成するユーザ生成コンテンツとの特徴の差を用いて、それぞれの特徴量を表す機械学習モデルを学習により取得する。判定機能部１５Ｂは、特徴量として、ユーザ生成コンテンツのフレーズの共起性を表すテキスト特徴量と、各ユーザ生成コンテンツに出現する単語の類似性を表すグループ特徴量とを用いて、機械学習モデルの学習を行う。

　これにより、判定機能部１５Ｂは、学習された機械学習モデルを用いて、その後に生成された当該サービスのユーザ生成コンテンツが悪性か否かを判定することが可能となる。例えば、判定機能部１５Ｂは、同時期に生成された特定のサービスの大量のユーザ生成コンテンツの悪性判定をリアルタイムに行うことが可能となる。

　図２の説明に戻る。算出部１５ｄは、所定の期間に、所定のサービスにおいて、ユーザにより生成されるユーザ生成コンテンツの特徴量を算出する。本実施形態において、ユーザ生成コンテンツの特徴量は、複数のユーザ生成コンテンツに共起する単語の組み合わせの特徴を表すテキスト特徴量と、所定の期間に生成された複数のユーザ生成コンテンツ間の単語の類似に関する特徴を表すグループ特徴量である。

　ここで、図６～図９は、算出部の処理を説明するための図である。まず、算出部１５ｄは、複数のユーザ生成コンテンツに共起する単語の組み合わせの特徴を表すテキスト特徴量を算出する。具体的には、算出部１５ｄは、収集されたユーザ生成コンテンツの集合に共起するフレーズのそれぞれについて、最適化した単語の分散表現のモデルを用いて、ユーザ生成コンテンツの集合のテキスト特徴量を算出する。

　より具体的には、図６に示すように、算出部１５ｄは、予め、ユーザ生成コンテンツの集合の各ユーザ生成コンテンツで共起するフレーズによる分散表現の特徴ベクトルを出力するモデルの最適化を行う。図６に示す例では、算出部１５ｄは、悪性のユーザ生成コンテンツの集合に出現する単語（１－ｇｒａｍのフレーズ）と２－ｇｒａｍのフレーズとのそれぞれを各行として、各ユーザ生成コンテンツ（文書）を各列とした行列（１.参照）を入力の重みとして用いている。また、算出部１５ｄは、各フレーズに対応する各行の平均を算出している（２．参照）。

　また、算出部１５ｄは、各文書を各行として、各単語を各列とした行列を出力の重みとして用いて、内積を算出し（３．参照）、各フレーズの分散表現の特徴ベクトルを出力するモデルの最適化を行っている（４．参照）。

　そして、算出部１５ｄは、図７に示すように、まず、収集されたユーザ生成コンテンツの集合Ｕに対して、コンテンツ内のＵＲＬの文字列から辞書に存在する単語を抽出し、ＵＲＬの文字列と置き換える（ＷｏｒｄＳｅｇｍｅｎｔａｔｉｏｎ）。

　また、算出部１５ｄは、予め、ユーザ生成コンテンツの集合Ｕに出現する単語（１－ｇｒａｍのフレーズ）と２－ｇｒａｍのフレーズとについて、図６に示したように分散表現のモデルの最適化を行う。そして、算出部１５ｄは、最適化した分散表現のモデルを用いて、各ユーザ生成コンテンツｕの特徴ベクトルＶＥＣ_ｕの集合を生成する（ＷｏｒｄＥｍｂｅｄｄｉｎｇｓ）。そして、算出部１５ｄは、ユーザ生成コンテンツの集合のテキスト特徴量として、各ユーザ生成コンテンツｕの特徴ベクトルＶＥＣ_ｕの平均を算出する。

　ここで、異なるタイミングのイベントにおいても、悪性のユーザ生成コンテンツには類似した単語が多く存在する傾向にある。そのため、悪性のユーザ生成コンテンツの集合Ｕについて、上記のように算出される各ユーザ生成コンテンツｕの特徴ベクトルＶＥＣ_ｕの平均は、ユーザ生成コンテンツの集合Ｕの特徴を反映した特徴量となり得る。

　また、算出部１５ｄは、所定の期間に生成された複数のユーザ生成コンテンツ間の単語の類似に関する特徴を表すグループ特徴量を算出する。具体的には、図８に示すように、算出部１５ｄは、同時期に収集されたユーザ生成コンテンツの集合Ｕについて、出現する単語（１－ｇｒａｍのフレーズ）に対して、Ｍｉｎｈａｓｈ－ＬＳＨアルゴリズムを適用し、各ユーザ生成コンテンツ間の類似度を算出する。ここで、同時期とは、生成された日時の時間差が所定の時間閾値σ以内であることを意味している。そして、算出部１５ｄは、算出した類似度が所定の類似度閾値τを超えた場合に、このユーザ生成コンテンツの集合を類似ユーザ生成コンテンツ集合とする。

　算出部１５ｄは、類似ユーザ生成コンテンツ集合について、グループ特徴量を特定する。グループ特徴量は、集合のサイズ、集合内のユーザ数、集合内に記載されているユニークなＵＲＬの数、集合内のユーザ生成コンテンツに記載されているＵＲＬの数の平均、または集合内の平均投稿時間間隔である。

　例えば、図９に例示するように、算出部１５ｄは、収集されたユーザ生成コンテンツ集合ごとに、類似ユーザ生成コンテンツ集合であるか否かを判定し、類似ユーザ生成コンテンツ集合である場合に、グループ特徴量を特定する。

　図９には、例えば、ユーザ生成コンテンツ１は、ｕｓｅｒ１により生成され、出現する単語が「Ｆｒｅｅ　ｌｉｖｅ　ｓｔｒｅａｍｉｎｇ　ＵＲＬ１　ＵＲＬ１」であることが例示されている。また、ユーザ生成コンテンツ１～３が同一の類似ユーザ生成コンテンツ集合であることが例示されている。また、この類似ユーザ生成コンテンツ集合のグループ特徴量として、平均投稿時間間隔、集合のサイズが３、集合のユニークユーザの数が２（ｕｓｅｒ１、ｕｓｅｒ２）、集合のＵＲＬユニーク数が２（ＵＲＬ１、ＵＲＬ２）、１コンテンツのＵＲＬ数の平均が１．６７であることが例示されている。

　また、ユーザ生成コンテンツ４、５が同一の類似ユーザ生成コンテンツ集合であることが例示されている。また、ユーザ生成コンテンツ６、７は、類似ユーザ生成コンテンツ集合ではないことが例示されている。

　ここで、悪性のユーザ生成コンテンツは、類似した文脈で同時期に拡散される傾向にある。そのため、悪性のユーザ生成コンテンツ集合について、上記のようにグループ特徴量を特定することが可能である。つまり、このようにグループ特徴量を特定できる場合には、このユーザ生成コンテンツの集合が悪性である可能性が高いことを意味する。

　図２の説明に戻る。学習部１５ｅは、算出された正規ユーザにより生成されるユーザ生成コンテンツの特徴量と、悪性ユーザにより生成されるコンテンツの特徴量とを用いて学習する。また、判定部１５ｆは、学習されたモデルにより、ユーザ生成コンテンツが悪性ユーザにより生成されたものか否かを判定する。

　具体的には、学習部１５ｅは、ユーザ生成コンテンツのフレーズの共起性を表すテキスト特徴量と、各ユーザ生成コンテンツに出現する単語の類似性を表すグループ特徴量とを用いて、機械学習モデルの教師あり学習を行う。また、判定部１５ｆは、学習された機械学習モデルを用いて、その後に取得された当該サービスのユーザ生成コンテンツが悪性か否かを判定する。

　このように、判定機能部１５Ｂは、イベント等の特定のタイミングで生成される悪性の可能性が高いユーザ生成コンテンツの特徴を学習し、学習結果を用いて、リアルタイムに収集されたユーザ生成コンテンツの悪性判定を行うことが可能となる。

［抽出機能部］
　図１０は、抽出機能部の処理を説明するための図である。図１０に示すように、抽出機能部１５Ｃは、任意のサービスにおいて、ユーザ生成コンテンツに含まれるＵＲＬにアクセスして得られるＷｅｂコンテンツの特徴量を抽出する。例えば、抽出機能部１５Ｃは、最終的に到達するＦＱＤＮ（完全指定ドメイン名）のＩＰアドレスを特定する。

　また、抽出機能部１５Ｃは、攻撃者が生成するユーザ生成コンテンツと正規ユーザが生成するユーザ生成コンテンツについて、特徴量を用いて学習する。そして、抽出機能部１５Ｃは、抽出機能部１５Ｃは、学習した特徴量を用いて、同時期に任意のサービスで大量に生成されたユーザ生成コンテンツについて、悪性判定を行う。

　また、抽出機能部１５Ｃは、悪性のユーザ生成コンテンツであると判定された場合に、この悪性のユーザ生成コンテンツから、脅威となり得る特徴である脅威情報を抽出し、脅威レポートを出力する。このようにして、抽出機能部１５Ｃは、脅威となり得る攻撃をリアルタイムに検知することが可能となる。

　図２の説明に戻る。抽出部１５ｇは、所定の期間に、複数のサービスにおいて、ユーザにより生成されるユーザ生成コンテンツに記載された入口ＵＲＬにアクセスして該ユーザ生成コンテンツの特徴量を抽出する。ここで抽出される特徴量は、到達する到達ＷｅｂサイトのＷｅｂコンテンツに関する特徴量と、所定の期間に生成された複数のユーザ生成コンテンツに関する特徴量とを含む。

　具体的には、抽出部１５ｇは、まず、収集されたユーザ生成コンテンツに記載されたＵＲＬを入口ＵＲＬとして、この入口ＵＲＬにアクセスして、最終的に到達したサイトのＵＲＬすなわち到達ＵＲＬを特定する。なお、入口ＵＲＬがＵＲＬ短縮サービスを利用したものである場合には、これをそのまま入口ＵＲＬとする。

　ここで、ユーザ生成コンテンツに記載されたＵＲＬには、ｂｉｔ［．］ｌｙ、ｔｉｎｙｕｒｉ［．］ｃｏｍ等のＵＲＬ短縮サービスを利用したものが多数存在する。ＵＲＬ短縮サービスは、長いＵＲＬを短く簡素なＵＲＬに変換して発行するサービスである。ＵＲＬ短縮サービスの多くは、他のサイトの長いＵＲＬを自サービスの配下で発行した短いＵＲＬと対応付けておくことで、この短いＵＲＬへのアクセスがあった場合に、元の長いＵＲＬへリダイレクトする。

　そこで、抽出部１５ｇは、例えば、スクレイピングフレームワークのＳｃｒａｐｙとＪａｖａｓｃｒｉｐｔ（登録商標）レンダリングが可能なヘッドレスブラウザＳｐｌａｓｈとを組み合わせてＷｅｂクローラを作成する。これにより、抽出部１５ｇは、ユーザ生成コンテンツに記載されたＵＲＬにアクセスし、通信情報を記録する。

　例えば、抽出部１５ｇは、最終的に到達するＷｅｂサイトのＷｅｂコンテンツとリダイレクトの回数とを記録する。入口ＵＲＬ「http://bit.ly/aaa」→「http://redirect.com/」→到達ＵＲＬ「http://malicious.com」の順に遷移する通信パターンである場合には、リダイレクト回数２回、最終到達Ｗｅｂサイト「malicious.com」のＷｅｂコンテンツ等が記録される。

　そして、抽出部１５ｇは、到達サイトの各ＨＴＭＬのタグ数、到達サイト上に表示される文字列の分散表現、リダイレクト回数、入口ＵＲＬから到達ＵＲＬまでに遷移するＦＱＤＮ（完全指定ドメイン名）の数等といった、Ｗｅｂコンテンツの特徴量を抽出する。ここで、ＨＴＭＬの計上するタグは、例えば、悪性サイトに頻出するＴｏｐ３０のタグとすることにより、抽出部１５ｇが、悪性のユーザ生成コンテンツの特徴量を抽出することが可能となる。

　また、抽出部１５ｇは、最終的に到達するＦＱＤＮのＩＰアドレスを特定する。また、抽出部１５ｇは、同時期に複数のサービスから同一のＩＰアドレスに到達する場合に、これらのユーザ生成コンテンツの集合を、類似ユーザ生成コンテンツ集合とする。

　そして、抽出部１５ｇは、類似ユーザ生成コンテンツ集合について、集合内のユーザ生成コンテンツ数、サービス数、入口ＵＲＬの数、ユーザ数、テキストの分散表現等といった、ユーザ生成コンテンツの特徴量を抽出する。

　学習部１５ｅは、抽出された正規ユーザにより生成されるユーザ生成コンテンツの特徴量と、悪性ユーザにより生成されるコンテンツの特徴量とを用いて学習する。また、判定部１５ｆは、学習されたモデルにより、ユーザ生成コンテンツが悪性ユーザにより生成されたものか否かを判定する。

　具体的には、学習部１５ｅは、抽出された最終到達ＷｅｂサイトのＷｅｂコンテンツに関する特徴量と、同時期に生成されたユーザ生成コンテンツに関する特徴量とを用いて、機械学習モデルの教師あり学習を行う。また、判定部１５ｆは、学習された機械学習モデルを用いて、その後に取得された当該サービスのユーザ生成コンテンツが悪性か否かを判定する。

　このように、学習部１５ｅは、イベント等の特定のタイミングで類似した文脈で生成され、同一のＩＰアドレスに到達するＵＲＬが記載された悪性の可能性が高いユーザ生成コンテンツ集合の特徴を学習する。したがって、判定部１５ｆは、学習結果を用いて、リアルタイムに収集されたユーザ生成コンテンツの悪性判定を行うことが可能となる。

　また、抽出部１５ｇは、ユーザ生成コンテンツが悪性ユーザにより生成されたと判定された場合に、該ユーザ生成コンテンツの攻撃の特徴を脅威情報として出力する。ここで、図１１および図１２は、脅威情報を説明するための図である。図１１に示すように、脅威情報には、例えばユーザ生成コンテンツに含まれるキーフレーズと、各サービスのユーザ生成コンテンツに記載された入口ＵＲＬ、到達ＵＲＬ等が含まれる。図１１に示す例では、キーフレーズ「rugby　world　cup」を含むサービスａおよびサービスｂのユーザ生成コンテンツと、それぞれに記載されている入口ＵＲＬと、サービスａ、ｂに共通の到達ＵＲＬが示されている。抽出部１５ｇは、これらの脅威情報を、所定の提供先に対して出力部１２または通信制御部１３を介して出力する。

　具体的には、図１２に示すように、脅威情報として、提供先に対する通報等の注意喚起や、ブラックリスト等が提供される。図１２に示す例では、例えば、単語「定期開催（週に１回）、無料、生放送、Ｊリーグ」等を含む文脈のユーザ生成コンテンツについて、注意喚起されている。特に、この文脈を用いる攻撃者のアカウントと悪用されたサービスとが通報されている。また、このユーザ生成コンテンツに記載された入口ＵＲＬ、入口ＵＲＬから遷移する中継ＵＲＬ、中継ＵＲＬから最終的に到達する到達ＵＲＬを含むブラックリストが提示されている。

　また、図１２に示す例では、上記の文脈の悪性のユーザ生成コンテンツと、単語「定期開催（４年に１回）、無料、生放送、東京オリンピック」等を含む文脈の悪性のユーザ生成コンテンツとについて、到達ＵＲＬが共通の悪性サイトであることが提示されている。

　このように、抽出機能部１５Ｃは、同時期に任意のサービスで大量に生成された悪性の可能性の高いユーザ生成コンテンツについて、入口ＵＲＬにアクセスして得られる特徴量を用いて、悪性判定を行う。また、抽出機能部１５Ｃは、悪性のユーザ生成コンテンツであると判定された場合に、この悪性のユーザ生成コンテンツから脅威情報を抽出し、脅威レポートを出力する。これにより、抽出機能部１５Ｃは、同時期に任意のサービスで大量に生成された悪性の可能性の高いユーザ生成コンテンツのうち、脅威となり得る攻撃をリアルタイムに検知して、攻撃情報を出力することが可能となる。

　なお、抽出部１５ｇは、上記の判定機能部１５Ｂにおいて悪性のユーザ生成コンテンツであると判定された場合に、該ユーザ生成コンテンツの誘導文脈に含まれる文字列やＵＲＬ等の攻撃の特徴を脅威情報として出力してもよい。

［検知処理］
　次に、図１３～図１７を参照して、本実施形態に係る検知装置１による検知処理について説明する。まず、図１３は、収集機能部の収集処理手順を示すフローチャートである。図１３のフローチャートは、例えば、ユーザが開始を指示する操作入力を行ったタイミングで開始される。

　まず、取得部１５ａが、所定の期間に各サービスにおいて生成されるユーザ生成コンテンツを取得する（ステップＳ１）。具体的には、取得部１５ａは、入力部１１あるいは通信制御部１３を介して、各サービスのサーバ等から、ユーザ生成コンテンツを取得する。

　次に、生成部１５ｂは、サービスごとのユーザ生成コンテンツに出現する単語を用いて、検索クエリを生成する。例えば、生成部１５ｂは、出現する単語の組み合わせを用いて検索クエリを生成する（ステップＳ２）。

　また、生成部１５ｂは、サービスごとに検索クエリの悪性度を算出し、算出した悪性度が閾値以上である検索クエリを、当該サービスの悪性となり得るユーザ生成コンテンツの検索クエリとして選定する。

　収集部１５ｃは、選定された検索クエリを用いて、所定のサービスにおいて生成されるユーザ生成コンテンツを収集する（ステップＳ３）。これにより、一連の収集処理が完了する。

　次に、図１４および図１５は、判定機能部の処理手順を示すフローチャートである。まず、図１４のフローチャートは、判定機能部１５Ｂにおける学習処理を示し、例えば、ユーザが開始を指示する操作入力を行ったタイミングで開始される。

　算出部１５ｄは、収集機能部１５Ａが所定の期間に収集した、所定のサービスのユーザ生成コンテンツの特徴量を算出する（ステップＳ４）。具体的には、算出部１５ｄは、複数のユーザ生成コンテンツに共起する単語の組み合わせの特徴を表すテキスト特徴量と、所定の期間に生成された複数のユーザ生成コンテンツ間の単語の類似に関する特徴を表すグループ特徴量とを算出する。

　また、学習部１５ｅが、算出された正規ユーザにより生成されるユーザ生成コンテンツの特徴量と、悪性ユーザにより生成されるコンテンツの特徴量とを用いて学習する（ステップＳ５）。これにより、一連の学習処理が完了する。

　次に、図１５のフローチャートは、判定機能部１５Ｂにおける判定処理を示し、例えば、ユーザが開始を指示する操作入力を行ったタイミングで開始される。

　算出部１５ｄは、収集機能部１５Ａが所定の期間に収集した、所定のサービスのユーザ生成コンテンツの特徴量を算出する（ステップＳ４）。

　次に、判定部１５ｆが、学習されたモデルにより、ユーザ生成コンテンツが悪性ユーザにより生成されたものか否かを判定する（ステップＳ６）。これにより、一連の判定処理が終了する。

　また、図１６および図１７は、抽出機能部の処理手順を示すフローチャートである。まず、図１６のフローチャートは、抽出機能部１５Ｃにおける学習処理を示し、例えば、ユーザが開始を指示する操作入力を行ったタイミングで開始される。

　まず、抽出部１５ｇが、収集機能部１５Ａが所定の期間に収集した、複数のサービスのユーザ生成コンテンツに記載された入口ＵＲＬにアクセスして、該ユーザ生成コンテンツの特徴量を抽出する（ステップＳ１４）。具体的には、抽出部１５ｇは、到達する到達ＷｅｂサイトのＷｅｂコンテンツに関する特徴量と、所定の期間に生成された複数のユーザ生成コンテンツに関する特徴量とを抽出する。

　また、学習部１５ｅが、抽出された正規ユーザにより生成されるユーザ生成コンテンツの特徴量と、悪性ユーザにより生成されるコンテンツの特徴量とを用いて学習する（ステップＳ５）。これにより、一連の学習処理が完了する。

　次に、図１７のフローチャートは、抽出機能部１５Ｃにおける判定処理を示し、例えば、ユーザが開始を指示する操作入力を行ったタイミングで開始される。

　まず、抽出部１５ｇが、収集機能部１５Ａが所定の期間に収集した、複数のサービスのユーザ生成コンテンツに記載された入口ＵＲＬにアクセスして、該ユーザ生成コンテンツの特徴量を抽出する（ステップＳ１４）。

　また、判定部１５ｆが、学習されたモデルにより、ユーザ生成コンテンツが悪性ユーザにより生成されたものか否かを判定する（ステップＳ６）。

　そして、判定部１５ｆが、ユーザ生成コンテンツが悪性ユーザにより生成されたと判定した場合には、抽出部１５ｇが、このユーザ生成コンテンツの攻撃の特徴を脅威情報として出力する（ステップＳ７）。これにより、一連の判定処理が終了する。

　なお、図１７の処理と同様に、図１５に示したステップＳ６の処理の後にステップＳ７の処理が行われてもよい。すなわち、判定機能部１５Ｂにおいてユーザ生成コンテンツが悪性ユーザにより生成されたと判定された場合に、抽出部１５ｇがこのユーザ生成コンテンツの攻撃の特徴を脅威情報として出力してもよい。

　以上、説明したように、本実施形態の収集機能部１５Ａでは、取得部１５ａが、所定の期間に各サービスにおいて生成されるユーザ生成コンテンツを取得する。また、生成部１５ｂが、サービスごとのユーザ生成コンテンツに出現する単語を用いて、検索クエリを生成する。また、収集部１５ｃが、生成された検索クエリを用いて、複数のサービスにおいて生成されるユーザ生成コンテンツを収集する。

　これにより、収集機能部１５Ａは、特定のタイミングに類似した文脈で拡散される、悪性の可能性が高いユーザ生成コンテンツを効率よく収集することが可能となる。その結果、検知装置１は、広範囲で悪性サイトの検知を迅速かつ精度高く行うことが可能となる。

　また、生成部１５ｂは、サービスごとに悪性になり得る検索クエリを選定する。これにより、収集機能部１５Ａは、サービスごとに悪性の可能性が高いユーザ生成コンテンツを容易に迅速に収集することが可能となる。

　また、判定機能部１５Ｂでは、算出部１５ｄが、所定の期間に、ユーザにより生成されるユーザ生成コンテンツの特徴量を算出する。また、学習部１５ｅが、算出された正規ユーザにより生成されるユーザ生成コンテンツの特徴量と、悪性ユーザにより生成されるコンテンツの特徴量とを用いて学習する。また、判定部１５ｆが、学習されたモデルにより、ユーザ生成コンテンツが悪性ユーザにより生成されたものか否かを判定する。

　これにより、判定機能部１５Ｂは、イベント等の特定のタイミングで生成されるユーザ生成コンテンツの特徴を学習し、学習結果を用いて、リアルタイムに収集されたユーザ生成コンテンツの悪性判定を行うことが可能となる。このように、判定機能部１５Ｂは、悪性サイトの検知を迅速かつ精度高く行うことが可能となる。

　また、算出部１５ｄが算出するユーザ生成コンテンツの特徴量は、複数のユーザ生成コンテンツに共起する単語の組み合わせの特徴を表すテキスト特徴量と、所定の期間に生成された複数のユーザ生成コンテンツ間の単語の類似に関する特徴を表すグループ特徴量とを含む。

　これにより、判定機能部１５Ｂは、悪性の可能性が高いユーザ生成コンテンツの特徴を用いて学習し、学習結果を用いて、リアルタイムに収集されたユーザ生成コンテンツの悪性判定を行うことが可能となる。

　また、抽出機能部１５Ｃでは、抽出部１５ｇが、所定の期間に、複数のサービスにおいて、ユーザにより生成されるユーザ生成コンテンツに記載された入口ＵＲＬにアクセスして該ユーザ生成コンテンツの特徴量を抽出する。また、学習部１５ｅが、抽出された正規ユーザにより生成されるユーザ生成コンテンツの特徴量と、悪性ユーザにより生成されるコンテンツの特徴量とを用いて学習する。また、判定部１５ｆが、学習されたモデルにより、ユーザ生成コンテンツが悪性ユーザにより生成されたものか否かを判定する。

　これにより、抽出機能部１５Ｃは、イベント等の特定のタイミングで生成される多様なサービスのユーザ生成コンテンツの特徴を用いて、リアルタイムに収集されたユーザ生成コンテンツの悪性判定を行うことが可能となる。このように、抽出機能部１５Ｃは、広範囲で悪性サイトの検知を迅速かつ精度高く行うことが可能となる。

　また、抽出部１５ｇが抽出する特徴量は、到達する到達ＷｅｂサイトのＷｅｂコンテンツに関する特徴量と、所定の期間に生成された複数のユーザ生成コンテンツに関する特徴量とを含む。これにより、抽出機能部１５Ｃは、有効な悪性サイトの脅威情報を抽出することが可能となる。

　また、抽出部１５ｇは、ユーザ生成コンテンツが悪性ユーザにより生成されたと判定された場合に、該ユーザ生成コンテンツの攻撃の特徴を脅威情報として出力する。これにより、抽出機能部１５Ｃは、所定の提供先に、有効な悪性サイトの脅威情報を提示することが可能となる。

　また、本実施形態の検知装置１において、取得部１５ａが、所定の期間に各サービスにおいて生成されるユーザ生成コンテンツを取得する。また、生成部１５ｂが、サービスごとのユーザ生成コンテンツに出現する単語を用いて、検索クエリを生成する。また、収集部１５ｃが、生成された検索クエリを用いて、複数のサービスにおいて生成されるユーザ生成コンテンツを収集する。また、算出部１５ｄが、収集された所定のサービスのユーザ生成コンテンツの特徴量を算出する。また、学習部１５ｅが、正規ユーザにより生成されるユーザ生成コンテンツの特徴量と、悪性ユーザにより生成されるコンテンツの特徴量とを用いて学習する。また、判定部１５ｆが、学習されたモデルにより、ユーザ生成コンテンツが悪性ユーザにより生成されたものか否かを判定する。また、抽出部１５ｇが、ユーザ生成コンテンツが悪性ユーザにより生成されたと判定された場合に、該ユーザ生成コンテンツに記載された入口ＵＲＬにアクセスして該ユーザ生成コンテンツの攻撃の特徴を脅威情報として出力する。

　これにより、検知装置１は、イベント等の特定のタイミングで生成されるユーザ生成コンテンツの特徴を用いて、迅速に悪性のユーザ生成コンテンツを検知して、所定の提供先に、有効な悪性サイトの脅威情報を提示することが可能となる。このように、検知装置１は、広範囲で悪性サイトの検知を迅速に行うことが可能となる。

　また、生成部１５ｂは、サービスごとに悪性になり得る検索クエリを選定する。これにより、検知装置１は、悪性の可能性の高いユーザ生成コンテンツを容易に収集し、より迅速に悪性のユーザ生成コンテンツを検知することが可能となる。

　また、算出部１５ｄが算出するユーザ生成コンテンツの特徴量は、複数のユーザ生成コンテンツに共起する単語の組み合わせの特徴を表すテキスト特徴量と、所定の期間に生成された複数のユーザ生成コンテンツ間の単語の類似に関する特徴を表すグループ特徴量とを含む。これにより、検知装置１は、悪性の可能性の高いユーザ生成コンテンツを処理対象として、より迅速に悪性のユーザ生成コンテンツを検知することが可能となる。

　また、学習部１５ｅは、抽出部１５ｇが抽出する複数のサービスのユーザ生成コンテンツの特徴量を用いて学習し、判定部１５ｆが、学習されたモデルにより、複数のサービスのユーザ生成コンテンツが悪性ユーザにより生成されたものか否かを判定する。これにより、任意のサービスのユーザ生成コンテンツの特徴を用いて、より迅速に悪性のユーザ生成コンテンツの検知が可能となる。

　また、抽出部１５ｇが抽出する特徴量は、到達する到達ＷｅｂサイトのＷｅｂコンテンツに関する特徴量と、所定の期間に生成された複数のユーザ生成コンテンツに関する特徴量とを含む。これにより、検知装置１は、所定の提供先に、有効な悪性サイトの脅威情報を提示することが可能となる。

［プログラム］
　上記実施形態に係る検知装置１が実行する処理をコンピュータが実行可能な言語で記述したプログラムを作成することもできる。一実施形態として、検知装置１は、パッケージソフトウェアやオンラインソフトウェアとして上記の検知処理を実行する検知プログラムを所望のコンピュータにインストールさせることによって実装できる。例えば、上記の検知プログラムを情報処理装置に実行させることにより、情報処理装置を検知装置１として機能させることができる。ここで言う情報処理装置には、デスクトップ型またはノート型のパーソナルコンピュータが含まれる。また、その他にも、情報処理装置にはスマートフォン、携帯電話機やＰＨＳ（Personal　Handyphone　System）などの移動体通信端末、さらには、ＰＤＡ（Personal　Digital　Assistant）などのスレート端末などがその範疇に含まれる。また、検知装置１の機能を、クラウドサーバに実装してもよい。

　図１８は、検知プログラムを実行するコンピュータの一例を示す図である。コンピュータ１０００は、例えば、メモリ１０１０と、ＣＰＵ１０２０と、ハードディスクドライブインタフェース１０３０と、ディスクドライブインタフェース１０４０と、シリアルポートインタフェース１０５０と、ビデオアダプタ１０６０と、ネットワークインタフェース１０７０とを有する。これらの各部は、バス１０８０によって接続される。

　メモリ１０１０は、ＲＯＭ（Read　Only　Memory）１０１１およびＲＡＭ１０１２を含む。ＲＯＭ１０１１は、例えば、ＢＩＯＳ（Basic　Input　Output　System）等のブートプログラムを記憶する。ハードディスクドライブインタフェース１０３０は、ハードディスクドライブ１０３１に接続される。ディスクドライブインタフェース１０４０は、ディスクドライブ１０４１に接続される。ディスクドライブ１０４１には、例えば、磁気ディスクや光ディスク等の着脱可能な記憶媒体が挿入される。シリアルポートインタフェース１０５０には、例えば、マウス１０５１およびキーボード１０５２が接続される。ビデオアダプタ１０６０には、例えば、ディスプレイ１０６１が接続される。

　ここで、ハードディスクドライブ１０３１は、例えば、ＯＳ１０９１、アプリケーションプログラム１０９２、プログラムモジュール１０９３およびプログラムデータ１０９４を記憶する。上記実施形態で説明した各情報は、例えばハードディスクドライブ１０３１やメモリ１０１０に記憶される。

　また、検知プログラムは、例えば、コンピュータ１０００によって実行される指令が記述されたプログラムモジュール１０９３として、ハードディスクドライブ１０３１に記憶される。具体的には、上記実施形態で説明した検知装置１が実行する各処理が記述されたプログラムモジュール１０９３が、ハードディスクドライブ１０３１に記憶される。

　また、検知プログラムによる情報処理に用いられるデータは、プログラムデータ１０９４として、例えば、ハードディスクドライブ１０３１に記憶される。そして、ＣＰＵ１０２０が、ハードディスクドライブ１０３１に記憶されたプログラムモジュール１０９３やプログラムデータ１０９４を必要に応じてＲＡＭ１０１２に読み出して、上述した各手順を実行する。

　なお、検知プログラムに係るプログラムモジュール１０９３やプログラムデータ１０９４は、ハードディスクドライブ１０３１に記憶される場合に限られず、例えば、着脱可能な記憶媒体に記憶されて、ディスクドライブ１０４１等を介してＣＰＵ１０２０によって読み出されてもよい。あるいは、検知プログラムに係るプログラムモジュール１０９３やプログラムデータ１０９４は、ＬＡＮやＷＡＮ（Wide　Area　Network）等のネットワークを介して接続された他のコンピュータに記憶され、ネットワークインタフェース１０７０を介してＣＰＵ１０２０によって読み出されてもよい。

　以上、本発明者によってなされた発明を適用した実施形態について説明したが、本実施形態による本発明の開示の一部をなす記述および図面により本発明は限定されることはない。すなわち、本実施形態に基づいて当業者等によりなされる他の実施形態、実施例および運用技術等は全て本発明の範疇に含まれる。

　１　検知装置
　１１　入力部
　１２　出力部
　１３　通信制御部
　１４　記憶部
　１５　制御部
　１５Ａ　収集機能部
　１５Ｂ　判定機能部
　１５Ｃ　抽出機能部
　１５ａ　取得部
　１５ｂ　生成部
　１５ｃ　収集部
　１５ｄ　算出部
　１５ｅ　学習部
　１５ｆ　判定部
　１５ｇ　抽出部

Claims

　所定の期間に、ユーザにより生成されるユーザ生成コンテンツの特徴量を算出する算出部と、
　算出された正規ユーザにより生成されるユーザ生成コンテンツの特徴量と、悪性ユーザにより生成されるコンテンツの特徴量とを用いて学習する学習部と、
学習されたモデルにより、ユーザ生成コンテンツが悪性ユーザにより生成されたものか否かを判定する判定部と、
　を有することを特徴とする判定装置。
　前記算出部が算出する前記ユーザ生成コンテンツの特徴量は、複数のユーザ生成コンテンツに共起する単語の組み合わせの特徴を表すテキスト特徴量と、所定の期間に生成された複数のユーザ生成コンテンツ間の単語の類似に関する特徴を表すグループ特徴量とを含むことを特徴とする請求項１に記載の判定装置。
　前記グループ特徴量は、集合のサイズ、集合内のユーザ数、集合内に記載されているユニークなＵＲＬの数、集合内のユーザ生成コンテンツに記載されているＵＲＬの数の平均、または集合内の平均投稿時間間隔のいずれか１つ以上を含むことを特徴とする請求項２に記載の判定装置。
　判定装置が実行する判定方法であって、
　所定の期間に、ユーザにより生成されるユーザ生成コンテンツの特徴量を算出する算出工程と、
　算出された正規ユーザにより生成されるユーザ生成コンテンツの特徴量と、悪性ユーザにより生成されるコンテンツの特徴量とを用いて学習する学習工程と、
学習されたモデルにより、ユーザ生成コンテンツが悪性ユーザにより生成されたものか否かを判定する判定工程と、
　を含んだことを特徴とする判定方法。
　所定の期間に、ユーザにより生成されるユーザ生成コンテンツの特徴量を算出する算出ステップと、
　算出された正規ユーザにより生成されるユーザ生成コンテンツの特徴量と、悪性ユーザにより生成されるコンテンツの特徴量とを用いて学習する学習ステップと、
学習されたモデルにより、ユーザ生成コンテンツが悪性ユーザにより生成されたものか否かを判定する判定ステップと、
　をコンピュータに実行させるための判定プログラム。