WO2023089674A1

WO2023089674A1 - 生成装置、生成方法および生成プログラム

Info

Publication number: WO2023089674A1
Application number: PCT/JP2021/042134
Authority: WO
Inventors: 利宣碓井; 知範幾世; 裕平川古谷; 誠岩村
Original assignee: 日本電信電話株式会社
Priority date: 2021-11-16
Filing date: 2021-11-16
Publication date: 2023-05-25

Abstract

痕跡情報生成装置（１０）は、マルウェアの挙動に関する挙動情報と、マルウェアが収集された日時に関する収集情報とを取得する取得部（１５ａ）と、挙動情報に基づいて、マルウェアを第１のグループに分類する第１分類部（１５ｃ）と、収集情報に基づいて、第１のグループに分類されたマルウェアを第２のグループにさらに分類する第２分類部（１５ｅ）と、挙動情報からマルウェアの活動痕跡を検出する検出部（１５ｂ）と、第２のグループに分類されるマルウェアが示す活動痕跡から、マルウェアの痕跡情報を生成する生成部（１５ｆ）と、を備える。

Description

生成装置、生成方法および生成プログラム

　本発明は、生成装置、生成方法および生成プログラムに関する。

　近年、マルウェアの巧妙化に伴い、シグネチャに基づいて検出する従来型のアンチウイルスソフトウェアでは検出の難しいマルウェアが増加してきている。また、送受信されたファイルを隔離された解析用の環境で動作させ、観測された挙動の悪性度からマルウェアを検出する動的解析サンドボックスによる検出も存在するが、一般的なユーザ環境との乖離度を見る方法等により、解析用の環境であることが感知され、回避されるようになってきた。

　このような背景から、ＥＤＲ（Endpoint　Detection　and　Response）と呼ばれるマルウェア対策技術が用いられるようになってきた。ＥＤＲでは、解析用に用意した環境ではなく、ユーザの端末にインストールされるエージェントを用いて、端末の挙動を継続的に監視する。そして、あらかじめ用意された、マルウェアが活動した際に残す痕跡を検出するためのいわば挙動のシグネチャである痕跡情報（ＩＯＣ：Indicator　of　Compromise）を用いて、マルウェアを検出する。具体的には、ＥＤＲは、端末で観測された挙動とＩＯＣを照合し、一致する場合はマルウェアに感染した疑いがあるとして検出する。

　したがって、ＥＤＲによるマルウェアの検出の可否は、あるマルウェアの検出に有用なＩＯＣが保持されているかに依存する。一方、ＩＯＣがマルウェアのみならず正規のソフトウェアの活動の痕跡にも一致してしまうような場合には、誤検知に繋がるという問題がある。それゆえに、ただ闇雲にマルウェアの痕跡をＩＯＣにして数を増やすのではなく、検出に有用な痕跡を選択的に抽出してＩＯＣにしていく必要がある。

　また、ＥＤＲが一度に照合できるＩＯＣの観点からも、検出に有用な痕跡を選択的に抽出してＩＯＣにしていく必要が生じる。すなわち、ＥＤＲは一般に多くのＩＯＣを持つほど照合に時間がかかるため、より少ない数のＩＯＣでより多くの種類のマルウェアを検出するＩＯＣの組み合わせを持つことが望ましい。その際に、検出に有用でない活動痕跡からＩＯＣを生成してしまうと、無用に照合の時間をかけてしまうことに繋がる。

　現在では、日々新しいマルウェアが生み出されており、それに対応したＩＯＣも変化し続ける。そのため、それらに対して継続的に対応するためには、マルウェアを自動的に解析して活動の痕跡を抽出し、ＩＯＣを生成していく必要がある。ＩＯＣは、マルウェアを解析して得られた活動痕跡に基づいて生成される。一般に、マルウェアの挙動を監視しながら実行して得られた痕跡を収集し、それに正規化を施したり、検知に適した組み合わせ選択したりすることでＩＯＣとする。以上から、マルウェアの検出に有用な活動痕跡を選択的かつ自動的に抽出する技術が希求される。

　例えば、非特許文献１では、複数のマルウェア間で繰り返し観測される痕跡のパターンを抽出し、ＩＯＣとして用いる手法を提案している。また、非特許文献２では、同一ファミリーのマルウェア間で共起する痕跡の集合を抽出し、集合の最適化手法によってＩＯＣの複雑度が高まるのを防ぐことで、人間が理解しやすいＩＯＣを自動で生成する手法を提案している。これらの手法によれば、実行トレースログからマルウェアの検出に貢献し得るＩＯＣを自動的に抽出することが可能である。

　ここで、実行トレースとは、実行時に様々な観点からの挙動を順に記録していくことで、プログラムの実行状況を追跡するものである。また、これを実現するために、挙動を監視して記録する機能を備えたプログラムを、トレーサと呼ぶ。例えば、実行されたＡＰＩ（Application　Programming　Interface）を順に記録したものをＡＰＩトレースと呼び、それを実現するためのプログラムをＡＰＩトレーサと呼ぶ。

Christian　Doll　et　al.　"Automated　Pattern　Inference　Based　on　Repeatedly　Observed　Malware　Artifacts."　Proceedings　of　the　14th　International　Conference　on　Availability,　Reliability　and　Security.　2019. Yuma　Kurogome　et　al.　"EIGER:　Automated　IOC　Generation　for　Accurate　and　Interpretable　Endpoint　Malware　Detection."　Proceedings　of　the　35th　Annual　Computer　Security　Applications　Conference.　2019.

　しかしながら、上述した従来技術では、実行可能バイナリ型のマルウェアへのＩＯＣの生成のみを対象としており、スクリプト型のマルウェアを対象としたＩＯＣの生成を考慮していないという課題があった。ここで、スクリプト型マルウェアは、実行可能バイナリ型のマルウェアと異なり、一般に明確なファミリーを持たない。なお、ファミリーとは、マルウェアの種族を表し、類似した特徴を持ったマルウェア同士をまとめたものである。

　非特許文献１および非特許文献２に記載の手法では、同一ファミリー内で共通的に見られる活動の痕跡に基づいてＩＯＣを生成している。そのため、これらの手法を、明確なファミリーを持たないスクリプト型のマルウェアに対して適用し、効果的なＩＯＣを生成することは難しい。

　特に、スクリプト型のマルウェアにおいては、挙動は類似していても、時間の経過につれて活動の痕跡が大きく変化する場合がある。したがって、従来の実行可能バイナリ型のマルウェアのように挙動の類似性のみに基づいてファミリーを決定したとしても、活動痕跡のばらつきが大きくなり得る。その結果、同一のファミリーに対して共通的に有効なＩＯＣを生成できない場合がある。

　本発明は、上記に鑑みてなされたものであって、スクリプト型マルウェアに対しても効果的にＩＯＣの生成を可能にする生成装置、生成方法及び生成プログラムを提供することを目的とする。

　上述した課題を解決し、目的を達成するために、本発明に係る生成装置は、マルウェアの挙動に関する挙動情報と、前記マルウェアが収集された日時に関する収集情報とを取得する取得部と、前記挙動情報に基づいて、前記マルウェアを第１のグループに分類する第１分類部と、前記収集情報に基づいて、前記第１のグループに分類されたマルウェアを第２のグループにさらに分類する第２分類部と、前記挙動情報から前記マルウェアの活動痕跡を検出する検出部と、前記第２のグループに分類されるマルウェアが示す前記活動痕跡から、前記マルウェアの痕跡情報を生成する生成部と、を備えることを特徴とする。

　また、本発明に係る生成方法は、生成装置によって実行される生成方法であって、マルウェアの挙動に関する挙動情報と、前記マルウェアが収集された日時に関する収集情報とを取得する取得工程と、前記挙動情報に基づいて、前記マルウェアを第１のグループに分類する第１分類工程と、前記収集情報に基づいて、前記第１のグループに分類されたマルウェアを第２のグループにさらに分類する第２分類工程と、前記挙動情報から前記マルウェアの活動痕跡を検出する検出工程と、前記第２のグループに分類されるマルウェアが示す前記活動痕跡から、前記マルウェアの痕跡情報を生成する生成工程と、を含むことを特徴とする。

　また、本発明に係る生成プログラムは、マルウェアの挙動に関する挙動情報と、前記マルウェアが収集された日時に関する収集情報とを取得する取得ステップと、前記挙動情報に基づいて、前記マルウェアを第１のグループに分類する第１分類ステップと、前記収集情報に基づいて、前記第１のグループに分類されたマルウェアを第２のグループにさらに分類する第２分類ステップと、前記挙動情報から前記マルウェアの活動痕跡を検出する検出ステップと、前記第２のグループに分類されるマルウェアが示す前記活動痕跡から、前記マルウェアの痕跡情報を生成する生成ステップと、をコンピュータに実行させることを特徴とする。

　本発明では、スクリプト型マルウェアに対して効果的にＩＯＣの生成を可能にする。

図１は、第１の実施形態に係る痕跡情報生成システムの構成例を示す図である。図２は、第１の実施形態に係る痕跡情報生成装置の構成例を示すブロック図である。図３は、第１の実施形態に係る分類処理の概要を示す図である。図４は、第１の実施形態に係る痕跡情報生成処理全体の流れの一例を示すフローチャートである。図５は、第１の実施形態に係る挙動情報取得処理の流れの一例を示すフローチャートである。図６は、第１の実施形態に係る活動痕跡検出処理の流れの一例を示すフローチャートである。図７は、第１の実施形態に係る第１分類処理の流れの一例を示すフローチャートである。図８は、第１の実施形態に係る時間窓決定処理の流れの一例を示すフローチャートである。図９は、第１の実施形態に係る第２分類処理の流れの一例を示すフローチャートである。図１０は、第１の実施形態に係るＩＯＣ生成処理の流れの一例を示すフローチャートである。図１１は、プログラムを実行するコンピュータを示す図である。

　以下に、本発明に係る痕跡情報生成装置（適宜、生成装置）、痕跡情報生成方法（適宜、生成方法）および痕跡情報生成プログラム（適宜、生成プログラム）の実施形態を図面に基づいて詳細に説明する。なお、本発明は、以下に説明する実施形態により限定されるものではない。

〔第１の実施形態〕
　以下に、本実施形態に係る痕跡情報生成システムの構成、痕跡情報生成装置の構成、分類処理の概要、痕跡情報生成処理の流れを順に説明し、最後に本実施形態の効果を説明する。

［痕跡情報生成システムの構成］
　図１を用いて、本実施形態に係る痕跡情報生成システム（適宜、本システム）１００の構成を詳細に説明する。図１は、第１の実施形態に係る痕跡情報生成システムの構成例を示す図である。本システム１００は、痕跡情報生成装置１０と、センサとして機能するマルウェア収集装置２０と、ＳＯＣ（Security　Operation　Center）やＣＳＩＲＴ（Computer　Security　Incident　Response　Team）等のセキュリティ対応組織３０（３０Ａ、３０Ｂ、３０Ｃ）とを有する。ここで、痕跡情報生成装置１０とマルウェア収集装置２０とセキュリティ対応組織３０とは、図示しない所定の通信網を介して、有線または無線により通信可能に接続される。なお、図１に示した痕跡情報生成システム１００には、複数台の痕跡情報生成装置１０、複数台のマルウェア収集装置２０が含まれてもよい。

（マルウェア収集処理）
　まず、痕跡情報生成装置１０は、マルウェア収集装置２０からマルウェアの入力を受け付ける（ステップＳ１）。ここで、マルウェア収集装置２０は、VirusTotal等の研究用のマルウェア共有サービス、組織内のＣＳＩＲＴ、ハニーポット等のマルウェアの情報を収集する専用の機器であるが、特に限定されない。マルウェア収集装置２０は、一般的なネットワーク等の利用者が所有するＰＣ（Personal　Computer）、スマートフォン、タブレット端末等であってもよい。

（挙動情報取得処理）
　次に、痕跡情報生成装置１０は、入力を受け付けたマルウェアを解析し、マルウェアの分類に有用な情報であって、マルウェアの挙動に関する挙動情報を取得する（ステップＳ２）。このとき、痕跡情報生成装置１０は、亜種間で類似性の高い特徴（例：ＡＰＩトレースの情報、ファイルのメタデータ）を含む挙動情報を取得する。ここでの亜種とは、同一の攻撃者によって作成され、例えば挙動などの観点からお互いに高い類似性を持つマルウェア同士を指す。なお、痕跡情報生成装置１０による詳細なマルウェアの挙動情報取得処理については、［挙動情報取得処理の流れ］にて後述する。また、痕跡情報生成装置１０は、入力を受け付けたマルウェアの収集日時に関する収集情報を取得する。

（活動痕跡検出処理）
　一方、痕跡情報生成装置１０は、取得した挙動情報からマルウェアの活動痕跡を発見する（ステップＳ３）。このとき、痕跡情報生成装置１０は、活動時に痕跡が残りやすい部分（例：ファイルやレジストリの操作、プロセス生成や通信）をあらかじめ列挙しておき、解析結果の中でそれらが現れたら活動痕跡として検出する。なお、痕跡情報生成装置１０による詳細な活動痕跡検出処理については、［活動痕跡検出処理の流れ］にて後述する。

（第１分類処理）
　続いて、痕跡情報生成装置１０は、取得した挙動情報から、同一の攻撃者であることを示すマルウェアの特徴（適宜、「マルウェア特徴」）を抽出し、マルウェアを分類する（ステップＳ４）。このとき、痕跡情報生成装置１０は、抽出したマルウェアの特徴に基づいてクラスタリングを行い、攻撃者の特徴ごとのクラスタを作成する。なお、痕跡情報生成装置１０による詳細な第１分類処理については、［第１分類処理の流れ］にて後述する。

　ここで、挙動情報に含まれるＡＰＩトレースやメタデータ等の特徴は、一般に亜種のマルウェア間での類似性が高い。そのため、そうした特徴に基づいてクラスタリングすることで、亜種のマルウェア同士が同じクラスタに分類されることが期待できる。また、挙動の類似性、すなわち攻撃の手法の類似性から、同じ攻撃者によるマルウェアの可能性が高いものをまずまとめることによって、同一のＩＯＣでの検知が期待できる。

（時間窓決定処理）
　次に、痕跡情報生成装置１０は、第２分類処理で用いるため、マルウェアの攻撃の時間区間に対応する時間窓を決定する（ステップＳ５）。ここで、時間窓には、過去のマルウェアの傾向を調査するなどして固定の値を人手で決定して用いてもよく、活動痕跡の文字列の傾向の変化に着目して動的に値を決定してもよい。後者の場合、痕跡情報生成装置１０は、マルウェアの活動痕跡から時間窓を決定する。このとき、痕跡情報生成装置１０は、活動痕跡の文字列の類似性に基づいてマルウェアをクラスタリングし、外れ値のマルウェアが発生する度に、新たな傾向が始まったものとして時間窓を区切る。なお、痕跡情報生成装置１０による詳細な時間窓決定処理については、［時間窓決定処理の流れ］にて後述する。

（第２分類処理）
　さらに、痕跡情報生成装置１０は、収集情報が示すマルウェアの収集日時から、攻撃の日時が近いマルウェアをさらに分類する（ステップＳ６）。このとき、痕跡情報生成装置１０は、ステップＳ５の処理で決定した時間窓を用いて同一の攻撃者のクラスタをさらに分類する。なお、痕跡情報生成装置１０による詳細な第２分類処理については、［第２分類処理の流れ］にて後述する。

　ここで、時間窓を導入して分類処理を行うのは、同じ攻撃者によるマルウェアでも、攻撃に用いられた日時が離れているもの同士では、活動痕跡が大きく異なる場合があるからである。このことを考慮して、同一の分類先で、攻撃に用いられた日時が近いもの同士の活動痕跡から、より効果的なＩＯＣを生成することが期待できる。

（ＩＯＣ生成処理）
　そして、痕跡情報生成装置１０は、活動痕跡と分類結果からマルウェアのＩＯＣ（痕跡情報）を生成する（ステップＳ７）。このとき、痕跡情報生成装置１０は、同一の分類先、時間窓に属するマルウェア同士を同じファミリーと仮想的にみなすことで、従来のＩＯＣ生成技術を適用できるようにして、ＩＯＣを生成する。なお、痕跡情報生成装置１０による詳細なＩＯＣ生成処理については、［ＩＯＣ生成処理の流れ］にて後述する。

（ＩＯＣ送信処理）
　最後に、痕跡情報生成装置１０は、生成したＩＯＣをセキュリティ対応組織３０に送信する（ステップＳ８）。痕跡情報生成装置１０がＩＯＣを送信する端末等は、特に限定されない。

　上述してきたように、本実施形態に係る痕跡情報生成システム１００では、マルウェアを解析して分類に有用な挙動情報を取得し、挙動情報に基づいて、類似した特徴を持ったマルウェア同士をまとめ、同じ分類先のマルウェアの中で、攻撃に用いられた日時が特定の範囲内のものをさらにまとめ、これらをもとに仮想的なファミリーを作成し、活動痕跡からＩＯＣを生成する。これによって、本システム１００では、スクリプト型のマルウェアのようにファミリーの情報を持たないマルウェアであっても、ＩＯＣを生成できるようになる。

　また、上述したように、本システム１００では、ファミリーの情報を持たないマルウェアに対するＩＯＣの生成に有用であり、そうしたマルウェアから自動的にＩＯＣを生成する処理に適している。このため、本システム１００では、ＥＤＲに入力するＩＯＣを生成することで、ＥＤＲをより効果的に運用し、ＳＯＣやＣＳＩＲＴ等で有効なマルウェアに対策を講じることが可能である。

［痕跡情報生成装置の構成］
　図２を用いて、本実施形態に係る痕跡情報生成装置１０の構成を詳細に説明する。図２は、第１の実施形態に係る痕跡情報生成装置の構成例を示すブロック図である。痕跡情報生成装置１０は、入力部１１、出力部１２、通信部１３、記憶部１４および制御部１５を有する。

（入力部１１）
　入力部１１は、当該痕跡情報生成装置１０への各種情報の入力を司る。入力部１１は、例えば、マウスやキーボード等であり、当該痕跡情報生成装置１０への設定情報等の入力を受け付ける。

（出力部１２）
　出力部１２は、当該痕跡情報生成装置１０からの各種情報の出力を司る。出力部１２は、例えば、ディスプレイ等であり、当該痕跡情報生成装置１０に記憶された設定情報等を出力する。

（通信部１３）
　通信部１３は、他の装置との間でのデータ通信を司る。例えば、通信部１３は、各通信装置との間でデータ通信を行う。また、通信部１３は、図示しないオペレータの端末との間でデータ通信を行うことができる。

（記憶部１４）
　記憶部１４は、制御部１５が動作する際に参照する各種情報や、制御部１５が動作した際に取得した各種情報を記憶する。記憶部１４は、挙動情報記憶部１４ａ、収集情報記憶部１４ｂおよび分類情報記憶部１４ｃを有する。ここで、記憶部１４は、例えば、ＲＡＭ（Random　Access　Memory）、フラッシュメモリ等の半導体メモリ素子、または、ハードディスク、光ディスク等の記憶装置等である。なお、図２の例では、記憶部１４は、痕跡情報生成装置１０の内部に設置されているが、痕跡情報生成装置１０の外部に設置されてもよいし、複数の記憶部が設置されていてもよい。

（挙動情報記憶部１４ａ）
　挙動情報記憶部１４ａは、挙動情報を記憶する。例えば、挙動情報記憶部１４ａは、制御部１５の取得部１５ａによって取得されたネットワーク通信、ファイル操作、レジストリ操作またはプロセス生成に関与するＡＰＩトレースを記憶する。また、挙動情報記憶部１４ａは、取得部１５ａによって取得されたマルウェアのファイルのヘッダ部分が持つ値（メタデータ）を記憶してもよい。さらに、挙動情報記憶部１４ａは、取得部１５ａによって取得されたマルウェアの収集日時に関する収集情報を挙動情報と紐づけて記憶してもよい。

（収集情報記憶部１４ｂ）
　収集情報記憶部１４ｂは、収集情報を記憶する。例えば、収集情報記憶部１４ｂは、収集情報として、マルウェア収集装置２０が収集したマルウェアごとの収集年月日、収集時刻を記憶する。

（分類情報記憶部１４ｃ）
　分類情報記憶部１４ｃは、分類情報を記憶する。例えば、分類情報記憶部１４ｃは、分類情報として、第１分類部１５ｃによって分類されたマルウェアの分類先を示す分類先情報や、第２分類部１５ｅによって分類された同一の時間窓に属するマルウェアを示す時間窓情報を記憶する。

（制御部１５）
　制御部１５は、当該痕跡情報生成装置１０全体の制御を司る。制御部１５は、取得部１５ａ、検出部１５ｂ、第１分類部１５ｃ、決定部１５ｄ、第２分類部１５ｅおよび生成部１５ｆを有する。ここで、制御部１５は、例えば、ＣＰＵ（Central　Processing　Unit）やＭＰＵ（Micro　Processing　Unit）等の電子回路やＡＳＩＣ（Application　Specific　Integrated　Circuit）やＦＰＧＡ（Field　Programmable　Gate　Array）等の集積回路である。

（取得部１５ａ）
　取得部１５ａは、マルウェアの挙動に関する挙動情報を取得する。例えば、取得部１５ａは、挙動情報として、マルウェアを隔離環境において実行し、呼び出されたＡＰＩに関するＡＰＩトレースを取得する。具体的な例を挙げると、取得部１５ａは、マルウェアを隔離環境で実行し、呼び出されたＡＰＩを引数や返り値とともに記録したＡＰＩトレースであって、特にネットワーク通信、ファイル操作、レジストリ操作またはプロセス生成に関与するＡＰＩトレースを取得する。また、取得部１５ａは、マルウェアのファイルのヘッダ部分が持つ値を調査して得られたメタデータを取得してもよい。なお、取得部１５ａは、マルウェアを実行する動的解析ではなく、マルウェアを実行しない静的解析を用いてもよい。一方、取得部１５ａは、取得した挙動情報を挙動情報記憶部１４ａに格納する。　　　

　取得部１５ａは、マルウェアが収集された日時に関する収集情報を取得する。例えば、取得部１５ａは、収集情報として、マルウェア収集装置２０が収集したマルウェアごとの収集年月日、収集時刻を取得する。一方、取得部１５ａは、取得した収集情報を収集情報記憶部１４ｂに格納してもよい。

（検出部１５ｂ）
　検出部１５ｂは、挙動情報からマルウェアの活動痕跡を検出する。例えば、検出部１５ｂは、マルウェアの活動時に痕跡が残りやすい部分をあらかじめ列挙しておき、列挙した部分に現れた痕跡を当該マルウェアの活動痕跡として検出する。具体的な例を挙げると、検出部１５ｂは、痕跡が残りやすい部分として、ネットワーク通信、ファイル操作、レジストリ操作またはプロセス生成に関与するＡＰＩトレースから活動痕跡を検出する。一方、検出部１５ｂは、検出したマルウェアの活動痕跡を記憶部１４に格納してもよい。

（第１分類部１５ｃ）
　第１分類部１５ｃは、挙動情報に基づいて、マルウェアを第１のグループに分類する。例えば、第１分類部１５ｃは、挙動情報から亜種間で類似性の高い特徴を抽出し、抽出した特徴に基づいてクラスタリングし、マルウェアを第１のグループに分類する。具体的な例を挙げると、第１分類部１５ｃは、取得部１５ａによって取得された挙動情報から同一の攻撃者によるマルウェアの分類に用いるマルウェア特徴を抽出し、抽出したマルウェア特徴に基づいてクラスタリングし、同一の攻撃者によるマルウェアごとの第１のグループに分類する。一方、第１分類部１５ｃは、分類した第１のグループに関する分類先情報を分類情報記憶部１４ｃに格納する。

　なお、クラスタリングには、ウォード法のような階層的手法を用いてもよいし、Ｋ－ｍｅａｎｓのように非階層的手法を用いてもよい。亜種のマルウェアをまとめることができるものであれば、その手法はこれらに限定されない。

（決定部１５ｄ）
　決定部１５ｄは、同一の活動痕跡の傾向を持ったマルウェアを捉えるために、収集情報に基づく時間区分を示す時間窓を決定する。ここで、時間窓の決定に際しては、過去のマルウェアの傾向を調査するなどして固定の値を人手で決定してもよいし、活動痕跡の文字列の傾向の変化に着目して動的に値を決定してもよい。例えば、決定部１５ｄは、活動痕跡に同一の傾向が見られた期間を時間窓として決定し、第２分類部１５ｅに入力する。

（第２分類部１５ｅ）
　第２分類部１５ｅは、収集情報に基づいて、第１のグループに分類されたマルウェアを第２のグループにさらに分類する。例えば、第２分類部１５ｅは、収集情報に基づく時間区分を示す時間窓を用いて、第１のグループに分類されるマルウェアのうち設定した時間窓に属するマルウェアを第２のグループにさらに分類する。具体的な例を挙げると、第２分類部１５ｅは、取得部１５ａによって取得された収集情報から所定の長さの時間窓を設定し、第１分類部１５ｃによって分類された第１のグループを時間窓で区切ることによって、同一の攻撃者によるマルウェアであって収集日時が同一の時間窓内のマルウェアを第２のグループとしてさらに分類する。一方、第２分類部１５ｅは、分類した第２のグループに関する時間窓情報を分類情報記憶部１４ｃに格納する。

（生成部１５ｆ）
　生成部１５ｆは、第２のグループに分類されるマルウェアが示す活動痕跡から、マルウェアの痕跡情報を生成する。例えば、生成部１５ｆは、同一の攻撃者によるマルウェアであって収集日時が同一の時間窓内のマルウェアが示す活動痕跡から、マルウェアの痕跡情報（ＩＯＣ）を生成する。このとき、生成部１５ｆは、例えば、活動痕跡として検出された共通の文字列を含むファイル名を検知するために、共通の文字列以外の文字列を任意の文字列を表わす記号で置き換えた痕跡情報を生成するが、痕跡情報の生成手法は特に限定されない。

［分類処理の概要］
　図３を用いて、本実施形態に係る第１分類処理および第２分類処理の概要を説明する。図３は、第１の実施形態に係る分類処理の概要を示す図である。

（第１分類処理の概要）
　痕跡情報生成装置１０は、収集したマルウェアを解析し、マルウェアの挙動の特徴をもとにクラスタリングする（図３（１）参照）。図３の例では、痕跡情報生成装置１０は、マルウェアＭ１～Ｍ１０の１０検体のマルウェアをクラスタＣ１（Ｍ１～Ｍ５）、およびクラスタＣ２（Ｍ６～Ｍ１０）に分類している。このため、第１分類処理では、マルウェアの挙動の共通性等をもとに分類することによって、例えば同一の攻撃者によるマルウェアを分類することができる。

（第２分類処理の概要）
　痕跡情報生成装置１０は、クラスタリングしたマルウェアを同一時間帯に収集されたことを示す時間窓ごとに分類する（図３（２）参照）。図３の例では、痕跡情報生成装置１０は、クラスタＣ１に分類されたマルウェアのうちＭ１、Ｍ２、Ｍ４は時間窓Ｔ１に分類し、Ｍ３、Ｍ５は時間窓Ｔ２に分類している。また、同様にして、痕跡情報生成装置１０は、クラスタＣ２に分類されたマルウェアのうちＭ６、Ｍ８は時間窓Ｔ３に分類し、Ｍ７、Ｍ９、Ｍ１０は時間窓Ｔ４に分類している。このため、第２分類処理では、マルウェアの収集日時をもとにさらに分類することによって、例えば同一の攻撃者のうち攻撃に用いられた日時が近いマルウェアを分類することができる。

［痕跡情報生成処理全体の流れ］
　図４を用いて、本実施形態に係る痕跡情報生成処理全体の流れを詳細に説明する。図４は、第１の実施形態に係る痕跡情報生成処理全体の流れの一例を示すフローチャートである。なお、下記のステップＳ１０１～Ｓ１０９は、異なる順序で実行することもできる。また、下記のステップＳ１０１～Ｓ１０９のうち、省略される処理があってもよい。

　まず、痕跡情報生成装置１０の入力部１１は、マルウェア収集装置２０から、痕跡情報（ＩＯＣ）を生成する対象となるマルウェアの入力と、マルウェアが収集された日時に関する収集情報の入力とを受け付ける（ステップＳ１０１）。このとき、入力部１１は、マルウェア収集装置２０以外の機器からマルウェアの情報の入力を受け付けてもよい。

（挙動情報取得処理）
　取得部１５ａは、挙動情報取得処理を実行する（ステップＳ１０２）。なお、取得部１５ａによる詳細な挙動情報取得処理については、［挙動情報取得処理の流れ］にて後述する。また、取得部１５ａは、入力部１１によって入力を受け付けたマルウェアの収集情報を取得する。

（活動痕跡検出処理）
　検出部１５ｂは、活動痕跡検出処理を実行する（ステップＳ１０３）。なお、検出部１５ｂによる詳細な活動痕跡検出処理については、［活動痕跡検出処理の流れ］にて後述する。

（第１分類処理）
　第１分類部１５ｃは、第１分類処理を実行する（ステップＳ１０４）。なお、第１分類部１５ｃによる詳細な第１分類処理については、［第１分類処理の流れ］にて後述する。

（時間窓決定処理）
　決定部１５ｄは、時間窓決定処理を実行する（ステップＳ１０５）。なお、決定部１５ｄによる詳細な時間窓決定処理については、［時間窓決定処理の流れ］にて後述する。

（第２分類処理）
　第２分類部１５ｅは、第２分類処理を実行する（ステップＳ１０６）。なお、第２分類部１５ｅによる詳細な第２分類処理については、［第２分類処理の流れ］にて後述する。

　このとき、第２分類部１５ｅは、時間窓内で同じ分類先のマルウェアが見られた場合（ステップＳ１０７：Ｙｅｓ）、ステップＳ１０８のＩＯＣ生成処理へ移行する。一方、第２分類部１５ｅは、時間窓内で同じ分類先のマルウェアが見られなかった場合（ステップＳ１０７：Ｎｏ）、処理を終了する。

（ＩＯＣ生成処理）
　生成部１５ｆは、ＩＯＣ生成処理を実行する（ステップＳ１０８）。なお、生成部１５ｆによる詳細なＩＯＣ生成処理については、［ＩＯＣ生成処理の流れ］にて後述する。

　最後に、出力部１２は、ステップＳ１０８の処理で生成されたＩＯＣを出力し（ステップＳ１０９）、処理を終了する。また、通信部１３は、生成されたＩＯＣをセキュリティ対応組織３０に送信してもよい。

［各処理の流れ］
　図５～図１０を用いて、本実施形態に係る痕跡情報生成処理の各処理の流れを詳細に説明する。以下では、挙動情報取得処理の流れ、活動痕跡検出処理の流れ、第１分類処理の流れ、時間窓決定処理の流れ、第２分類処理の流れ、ＩＯＣ生成処理の流れの順に説明する。

（挙動情報取得処理の流れ）
　図５を用いて、本実施形態に係る挙動情報取得処理の流れを詳細に説明する。図５は、第１の実施形態に係る挙動情報取得処理の流れの一例を示すフローチャートである。なお、下記のステップＳ２０１～Ｓ２０４は、異なる順序で実行することもできる。また、下記のステップＳ２０１～Ｓ２０４のうち、省略される処理があってもよい。

　取得部１５ａは、マルウェアの入力を受け付け（ステップＳ２０１）、解析環境でマルウェアを実行し（ステップＳ２０２）、観測された挙動から挙動情報を取得し（ステップＳ２０３）、挙動情報を記憶部１４に格納し（ステップＳ２０４）、挙動情報取得処理を繰り返す。

（活動痕跡検出処理）
　図６を用いて、本実施形態に係る活動痕跡検出処理の流れを詳細に説明する。図６は、第１の実施形態に係る活動痕跡検出処理の流れの一例を示すフローチャートである。なお、下記のステップＳ３０１～Ｓ３０８は、異なる順序で実行することもできる。また、下記のステップＳ３０１～Ｓ３０８のうち、省略される処理があってもよい。

　検出部１５ｂは、挙動情報を受け付け（ステップＳ３０１）、活動痕跡が残りやすい部分のリストを受け付け（ステップＳ３０２）、リストから任意の部分を取り出す（ステップＳ３０３）。このとき、検出部１５ｂは、挙動情報に当該部分が含まれていた場合（ステップＳ３０４：Ｙｅｓ）、マルウェアの活動痕跡として処理する（ステップＳ３０５）。一方、検出部１５ｂは、挙動情報に当該部分が含まれていなかった場合（ステップＳ３０４：Ｎｏ）、リストから別の部分を取出し（ステップＳ３０６）、ステップＳ３０４の処理に移行する。続いて、検出部１５ｂは、ステップＳ３０５の処理によってリストを全て処理した場合（ステップＳ３０７：Ｙｅｓ）、マルウェアの活動痕跡を出力し（ステップＳ３０８）、活動痕跡検出処理を繰り返す。一方、検出部１５ｂは、ステップＳ３０５の処理によってリストを全て処理していない場合（ステップＳ３０７：Ｎｏ）、リストから別の部分を取出し（ステップＳ３０６）、ステップＳ３０４の処理に移行する。

（第１分類処理の流れ）
　図７を用いて、本実施形態に係る第１分類処理の流れを詳細に説明する。図７は、第１の実施形態に係る第１分類処理の流れの一例を示すフローチャートである。なお、下記のステップＳ４０１～Ｓ４０６は、異なる順序で実行することもできる。また、下記のステップＳ４０１～Ｓ４０６のうち、省略される処理があってもよい。

　第１分類部１５ｃは、挙動情報を受け付け（ステップＳ４０１）、挙動情報からマルウェア特徴を抽出し（ステップＳ４０２）、マルウェア特徴から有用な特徴のみを選択し（ステップＳ４０３）、選択した特徴に次元の削減や正規化処理を実行し（ステップＳ４０４）、類似した挙動を示すマルウェア同士が同じ分類先となるように分類し（ステップＳ４０５）、各マルウェアの分類先情報を記憶部１４に格納し（ステップＳ４０６）、第１分類処理を繰り返す。

（時間窓決定処理の流れ）
　図８を用いて、本実施形態に係る時間窓決定処理の流れを詳細に説明する。図８は、第１の実施形態に係る時間窓決定処理の流れの一例を示すフローチャートである。なお、下記のステップＳ５０１～Ｓ５０７は、異なる順序で実行することもできる。また、下記のステップＳ５０１～Ｓ５０７のうち、省略される処理があってもよい。

　決定部１５ｄは、マルウェアの活動痕跡を受け付け（ステップＳ５０１）、活動痕跡の文字列を特徴ベクトル化し（ステップＳ５０２）、活動痕跡の類似性に基づいてマルウェアをクラスタリングする（ステップＳ５０３）。このとき、決定部１５ｄは、収集日時が新たなマルウェアが外れ値となった場合（ステップＳ５０４：Ｙｅｓ）、外れ値となったマルウェアを区切るように新たな時間窓を設定し（ステップＳ５０５）、時間窓を出力し（ステップＳ５０７）、時間窓決定処理を繰り返す。一方、決定部１５ｄは、収集日時が新たなマルウェアが外れ値となっていない場合（ステップＳ５０４：Ｎｏ）、最新のマルウェアを含むように現在の時間窓を延長し（ステップＳ５０６）、時間窓を出力し（ステップＳ５０７）、時間窓決定処理を繰り返す。

（第２分類処理）
　図９を用いて、本実施形態に係る第２分類処理の流れを詳細に説明する。図９は、第１の実施形態に係る第２分類処理の流れの一例を示すフローチャートである。なお、下記のステップＳ６０１～Ｓ６０５は、異なる順序で実行することもできる。また、下記のステップＳ６０１～Ｓ６０５のうち、省略される処理があってもよい。

　第２分類部１５ｅは、マルウェアの収集情報と分類先情報とを受け付け（ステップＳ６０１）、設定する時間窓の長さを受け付け（ステップＳ６０２）、同一の分類先のマルウェアを取出し（ステップＳ６０３）、時間窓で区切り、収集日時が同一の時間窓内のマルウェアを分類し（ステップＳ６０４）、各マルウェアの時間窓情報を記憶部１４に格納し（ステップＳ６０５）、第２分類処理を繰り返す。

（ＩＯＣ生成処理）
　図１０を用いて、本実施形態に係るＩＯＣ生成処理の流れを詳細に説明する。図１０は、第１の実施形態に係るＩＯＣ生成処理の流れの一例を示すフローチャートである。なお、下記のステップＳ７０１～Ｓ７０６は、異なる順序で実行することもできる。また、下記のステップＳ７０１～Ｓ７０６のうち、省略される処理があってもよい。

　生成部１５ｆは、マルウェアの活動痕跡、分類先情報、時間窓情報を受け付け（ステップＳ７０１）、同一の分類先、時間窓に属するマルウェア同士を同じファミリーと判定し（ステップＳ７０２）、ファミリー内で共通性の高い活動痕跡を抽出し（ステップＳ７０３）、活動痕跡に正規化処理を実行し（ステップＳ７０４）、検知に有用な活動痕跡の組み合わせを選択し（ステップＳ７０５）、選択した活動痕跡の組み合わせをＩＯＣとして適切な形式で表現し（ステップＳ７０６）、ＩＯＣ生成処理を繰り返す。

［第１の実施形態の効果］
　第１に、上述した本実施形態に係る痕跡情報生成処理では、マルウェアの挙動に関する挙動情報と、マルウェアが収集された日時に関する収集情報とを取得し、挙動情報に基づいて、マルウェアを第１のグループに分類し、収集情報に基づいて、第１のグループに分類されたマルウェアを第２のグループにさらに分類し、挙動情報からマルウェアの活動痕跡を検出し、第２のグループに分類されるマルウェアが示す活動痕跡から、マルウェアの痕跡情報を生成する。このため、本処理では、スクリプト型マルウェアに対しても効果的にＩＯＣの生成を可能にする。

　第２に、上述した本実施形態に係る痕跡情報生成処理では、収集情報に基づく時間区分を示す時間窓を用いて、第１のグループに分類されるマルウェアのうち設定した時間窓に属するマルウェアを第２のグループにさらに分類する。このため、本処理では、マルウェアのファミリーの代替となるグループに分類することによって、スクリプト型マルウェアに対しても効果的にＩＯＣの生成を可能にする。

　第３に、上述した本実施形態に係る痕跡情報生成処理では、活動痕跡の文字列の類似性に基づいてマルウェアをクラスタリングし、クラスタリングしたマルウェアの傾向の変化に基づいて時間窓を決定する。このため、本処理では、マルウェアのファミリーの代替となるグループを継続的に分類することによって、スクリプト型マルウェアに対しても効果的にＩＯＣの生成を可能にする。

　第４に、上述した本実施形態に係る痕跡情報生成処理では、挙動情報として、マルウェアを隔離環境において実行し、呼び出されたＡＰＩに関するＡＰＩトレースを取得する。このため、本処理では、マルウェアの挙動の類似性を含む情報を取得することによって、スクリプト型マルウェアに対しても効果的にＩＯＣの生成を可能にする。

　第５に、上述した本実施形態に係る痕跡情報生成処理では、挙動情報から亜種間で類似性の高い特徴を抽出し、当該特徴に基づいてクラスタリングし、マルウェアを第１のグループに分類する。本処理では、より効率的にマルウェアのファミリーの代替となるグループに分類することによって、スクリプト型マルウェアに対しても効果的にＩＯＣの生成を可能にする。

　第６に、上述した本実施形態に係る痕跡情報生成処理では、ネットワーク通信、ファイル操作、レジストリ操作またはプロセス生成に関与するＡＰＩトレースからマルウェアの活動痕跡を検出する。本処理では、より効率的にマルウェアの活動痕跡を検出することによって、スクリプト型マルウェアに対しても効果的にＩＯＣの生成を可能にする。

〔システム構成等〕
　上記実施形態に係る図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示のごとく構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。さらに、各装置にて行なわれる各処理機能は、その全部または任意の一部が、ＣＰＵおよび当該ＣＰＵにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。

　また、上記実施形態において説明した各処理のうち、自動的に行われるものとして説明した処理の全部または一部を手動的に行うこともでき、あるいは、手動的に行われるものとして説明した処理の全部または一部を公知の方法で自動的に行うこともできる。この他、上記文書中や図面中で示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。

〔プログラム〕
　また、上記実施形態において説明した痕跡情報生成装置１０が実行する処理をコンピュータが実行可能な言語で記述したプログラムを作成することもできる。この場合、コンピュータがプログラムを実行することにより、上記実施形態と同様の効果を得ることができる。さらに、かかるプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータに読み込ませて実行することにより上記実施形態と同様の処理を実現してもよい。

　図１１は、プログラムを実行するコンピュータを示す図である。図１１に例示するように、コンピュータ１０００は、例えば、メモリ１０１０と、ＣＰＵ１０２０と、ハードディスクドライブインタフェース１０３０と、ディスクドライブインタフェース１０４０と、シリアルポートインタフェース１０５０と、ビデオアダプタ１０６０と、ネットワークインタフェース１０７０とを有し、これらの各部はバス１０８０によって接続される。

　メモリ１０１０は、図１１に例示するように、ＲＯＭ（Read　Only　Memory）１０１１及びＲＡＭ１０１２を含む。ＲＯＭ１０１１は、例えば、ＢＩＯＳ（Basic　Input　Output　System）等のブートプログラムを記憶する。ハードディスクドライブインタフェース１０３０は、図１１に例示するように、ハードディスクドライブ１０９０に接続される。ディスクドライブインタフェース１０４０は、図１１に例示するように、ディスクドライブ１１００に接続される。例えば、磁気ディスクや光ディスク等の着脱可能な記憶媒体が、ディスクドライブ１１００に挿入される。シリアルポートインタフェース１０５０は、図１１に例示するように、例えば、マウス１１１０、キーボード１１２０に接続される。ビデオアダプタ１０６０は、図１１に例示するように、例えばディスプレイ１１３０に接続される。

　ここで、図１１に例示するように、ハードディスクドライブ１０９０は、例えば、ＯＳ１０９１、アプリケーションプログラム１０９２、プログラムモジュール１０９３、プログラムデータ１０９４を記憶する。すなわち、上記のプログラムは、コンピュータ１０００によって実行される指令が記述されたプログラムモジュールとして、例えば、ハードディスクドライブ１０９０に記憶される。

　また、上記実施形態で説明した各種データは、プログラムデータとして、例えば、メモリ１０１０やハードディスクドライブ１０９０に記憶される。そして、ＣＰＵ１０２０が、メモリ１０１０やハードディスクドライブ１０９０に記憶されたプログラムモジュール１０９３やプログラムデータ１０９４を必要に応じてＲＡＭ１０１２に読み出し、各種処理手順を実行する。

　なお、プログラムに係るプログラムモジュール１０９３やプログラムデータ１０９４は、ハードディスクドライブ１０９０に記憶される場合に限られず、例えば着脱可能な記憶媒体に記憶され、ディスクドライブ等を介してＣＰＵ１０２０によって読み出されてもよい。あるいは、プログラムに係るプログラムモジュール１０９３やプログラムデータ１０９４は、ネットワーク（ＬＡＮ（Local　Area　Network）、ＷＡＮ（Wide　Area　Network）等）を介して接続された他のコンピュータに記憶され、ネットワークインタフェース１０７０を介してＣＰＵ１０２０によって読み出されてもよい。

　上記の実施形態やその変形は、本願が開示する技術に含まれると同様に、請求の範囲に記載された発明とその均等の範囲に含まれるものである。

　１０　痕跡情報生成装置（生成装置）
　１１　入力部
　１２　出力部
　１３　通信部
　１４　記憶部
　１４ａ　挙動情報記憶部
　１４ｂ　収集情報記憶部
　１４ｃ　分類情報記憶部
　１５　制御部
　１５ａ　取得部
　１５ｂ　検出部
　１５ｃ　第１分類部
　１５ｄ　決定部
　１５ｅ　第２分類部
　１５ｆ　生成部
　２０　マルウェア収集装置
　３０、３０Ａ、３０Ｂ、３０Ｃ　セキュリティ対応組織
　１００　痕跡情報生成システム

Claims

　マルウェアの挙動に関する挙動情報と、前記マルウェアが収集された日時に関する収集情報とを取得する取得部と、
　前記挙動情報に基づいて、前記マルウェアを第１のグループに分類する第１分類部と、
　前記収集情報に基づいて、前記第１のグループに分類されたマルウェアを第２のグループにさらに分類する第２分類部と、
　前記挙動情報から前記マルウェアの活動痕跡を検出する検出部と、
　前記第２のグループに分類されるマルウェアが示す前記活動痕跡から、前記マルウェアの痕跡情報を生成する生成部と、
　を備えることを特徴とする生成装置。
　前記第２分類部は、前記収集情報に基づく時間区分を示す時間窓を用いて、前記第１のグループに分類されるマルウェアのうち前記時間窓に属するマルウェアを第２のグループにさらに分類する、
　ことを特徴とする請求項１に記載の生成装置。
　前記活動痕跡の文字列の類似性に基づいて前記マルウェアをクラスタリングし、クラスタリングした前記マルウェアの傾向の変化に基づいて前記時間窓を決定する決定部、
　をさらに備えることを特徴とする請求項２に記載の生成装置。
　前記取得部は、前記挙動情報として、前記マルウェアを隔離環境において実行し、呼び出されたＡＰＩに関するＡＰＩトレースを取得する、
　ことを特徴とする請求項１から３のいずれか１項に記載の生成装置。
　前記第１分類部は、前記挙動情報から亜種間で類似性の高い特徴を抽出し、前記特徴に基づいてクラスタリングし、前記マルウェアを第１のグループに分類する、
　ことを特徴とする請求項１から４のいずれか１項に記載の生成装置。
　前記検出部は、ネットワーク通信、ファイル操作、レジストリ操作またはプロセス生成に関与するＡＰＩトレースから前記活動痕跡を検出する、
　ことを特徴とする請求項１から５のいずれか１項に記載の生成装置。
　生成装置によって実行される生成方法であって、
　マルウェアの挙動に関する挙動情報と、前記マルウェアが収集された日時に関する収集情報とを取得する取得工程と、
　前記挙動情報に基づいて、前記マルウェアを第１のグループに分類する第１分類工程と、
　前記収集情報に基づいて、前記第１のグループに分類されたマルウェアを第２のグループにさらに分類する第２分類工程と、
　前記挙動情報から前記マルウェアの活動痕跡を検出する検出工程と、
　前記第２のグループに分類されるマルウェアが示す前記活動痕跡から、前記マルウェアの痕跡情報を生成する生成工程と、
　を含むことを特徴とする生成方法。
　マルウェアの挙動に関する挙動情報と、前記マルウェアが収集された日時に関する収集情報とを取得する取得ステップと、
　前記挙動情報に基づいて、前記マルウェアを第１のグループに分類する第１分類ステップと、
　前記収集情報に基づいて、前記第１のグループに分類されたマルウェアを第２のグループにさらに分類する第２分類ステップと、
　前記挙動情報から前記マルウェアの活動痕跡を検出する検出ステップと、
　前記第２のグループに分類されるマルウェアが示す前記活動痕跡から、前記マルウェアの痕跡情報を生成する生成ステップと、
　をコンピュータに実行させることを特徴とする生成プログラム。