今後の課題

本節では，今後マルウェアの対策に取り組んでいく中で，着目すべき点や考慮すべき点に ついて述べる．これは本研究の発展だけではなく，より広い範囲でのマルウェア対策に関し て言及する．

8.2.1 本研究の発展

より多くのマルウェアを用いた検証

本論文での提案手法では2種類の通信モデルをもつマルウェアをそれぞれ98%以上の精度 で検知している．しかし，現在はマルウェアの発生頻度が高く，感染経路やマルウェアの種 類も多様化している．そのため，本手法の有効性は今後も継続的に検証を続けなければなら ない．

検知精度の検証をする際には，亜種への対応と新しい通信モデルへの対応の2^{つの観点が} 必要となる．通信モデルから作成したルールがどの程度の亜種耐性を持つかを検証しつつ，通

信モデルに沿わない亜種が発生した場合にはモデルの拡張およびルールの変更が必要となる．

さらに，新しい通信モデルが出現した場合，本手法の適応性を検証する必要もある．

マルウェア通信モデル作成の自動化

本手法ではマルウェア感染の解析結果に基づき，手動で作成したルールを使用している．マ ルウェア作成者は既存の通信モデルを持つ亜種を作成するだけではなく，新しい通信モデル のマルウェアも開発している．そのため，新しく収集したマルウェアが現行のルールで検知が できるかどうかだけではなく，新しく出現したマルウェア通信モデルを自動的に分析し，ルー ル化するアプローチも必要となる．新しいモデルの出現から対応にかかる時間を短縮するこ とで，持続的にマルウェアに対応していけると考えられる．

IPデュアルスタック環境への対応

本手法はホストの識別をIPアドレスに依存しているため，IPv4^とIPv6^{のデュアルスタック} 環境になった場合に，不都合が生じる可能性がある．デュアルスタック環境ではIPv4^とIPv6 のどちらで通信が発生するかは状況によって変化する．そのため，2つのイベントを見つけ る必要がある場合，一方がIPv4^{を用いた通信で他方が}IPv6を用いた通信上で発生すると，2 つのイベントの相関関係を示すのが困難になってしまう．結果として，検知精度に大きな影 響を及ぼすと見られる．さらに，IPv6では1つのインターフェースに複数のアドレスが設定 される運用が一般的であり，これもホストの識別に影響を与えると見られる．

そのため，何らかの方法でIPv4アドレスとIPv6アドレスを関連付ける手段が求められる．

監視対象が同一ネットワーク内のホストの場合はMACアドレスを用いて特定する手法が考 えられるが，ネットワークの上流で監視していた場合はOSI7層モデルのデータリンク層に関 する情報は利用できない．そのため，通信の相関関係などに着目し，同一のホストを同定す るための仕組みが必要とされる．

マルウェア検知に特化した通信解析モジュール

マルウェアに関連した通信を発見するために，マルウェアに検知に特化した通信解析モジュー ルを組み込む必要がある．例えば近年はあるアルゴリズムに基づいてドメイン名を決定する 機能がマルウェアに組み込まれている[15]．これは通信の相関関係を利用した検知手法でも 一部は対応が可能であるが，専用の解析ができるモジュールを本手法に組み込むことによっ て，より高い精度での検知が期待できる．

8.2.2 マルウェアからの防御

これまで，ホスト上におけるマルウェアからの防御はセキュリティ対策ソフトの利用が一般 的であった．セキュリティ対策ソフトはFalse positiveの発生率を極力下げるため，マルウェ アのシグネチャを用いた検知を優先してきたが，亜種の大量発生にともない，その有効性は 低下している．多くのセキュリティ対策ソフトは新たにヒューリスティック検知，ビヘイビア 検知などの手法を取り入れているが，False positiveを下げるために十分な防御率，検知率が 発揮できていない．そのためホスト上での対策についても，新しい手法の提案と実用化が急 務となっている．

新しい防御方法の一例として仮想環境を用いた監視・防御機構の構築が考えられる．計算 機性能の向上やソフトウェアの品質改善により，1つの筐体で複数のOSを動作させる仮想化 環境が普及しており，これを利用したマルウェアの防御機構が構築できる可能性があると考 えられる．OSの仮想化環境では利便性を高めるため，記憶領域やOS^{の状態復元機能や，仮} 想計算機の複製機能などがある．さらに，仮想化環境では仮想計算機とは独立した制御機構

（ハイパーバイザ）があるため，記憶領域やネットワークへの入出力をある程度まで制御でき る．これを利用して，マルウェアの検知，防御をするためのシステムが構築できると考えら れる．

8.2.3 ボットネットの追跡

ボットネットを外部から観察したり，ボットネットを乗っ取ることによってボットネット の全容を調査した報告[44, 15]はこれまでに多く存在したが，今後はこのような調査がます ます重要になると考えられる．2006年以前の主なボットネットは，IRC^{を用いた比較的単純} な構成の分散システムとして動作していた．しかし，近年ボットネットの構造は急速に複雑 化しており，ボットネットの種類ごとにも大きな違いが見られるようになってきている．

ボットネットの全容を正確に把握するためには，静的解析，動的解析からボットネットの 制御構造を明らかにし，接近していかなければならない．これはボットネットの制御構造に おける脆弱性を利用する必要があり，多くの負担や多彩な技術力が求められる．しかし，こ のようにして得られたボットネットに関する情報は，その活動形態や感染の拡大状況，ハー ダの目的やハーダ自身の情報などを得られる可能性があり，非常に価値が高い．このような アプローチは普遍的な手法がないため，より一層の負担が見込まれるが，マルウェア対策を する人物として必要な取り組みであると言える．

8.2.4 マルウェアの解析 静的解析と動的解析の連携

マルウェアを解析するための手法は静的解析と動的解析に分類できるが，この2^つを効果 的に組み合わせた解析手法の確立が求められる．一般的に動的解析は得られる情報が少ない 代わりに，解析にかかる時間が少ない．そして，静的解析は解析にかかる時間が長いが，得 られる情報は多い．これらの互いの利点を活かした連携手法を考案することによって，マル ウェアの解析と対策検討にかかる時間が大幅に減少することが期待される．

具体例としては，動的解析で得られた入出力情報を静的解析にフィードバックし，静的解析 によって次に解析するべきポイントを特定する，という作業を繰り返す方法が考えらる．動的 解析で特に効果的に得られるのはファイルやネットワークに関する入出力の情報である．動 的解析からはどこからどのようなデータを取得し，どのようなデータを発信するかを知るこ とができる．ただし，動的解析からデータが得られた段階ではそれらがどのような意味を持 つのかがわからない場合が多いため，データの形式や発信したデータに対する応答などにも とづいて推測するしかない．しかし一方で，これらの入出力とマルウェアの動作の相関関係 を調べることにより，マルウェアの処理のきっかけとなっている入出力を発見できる可能性 がある．これを利用して，静的解析により分析すべきポイントを抽出し，その入出力のあと にある処理の選択肢や，より情報を収集するために必要となる条件を得られると見られるこ のような処理を繰り返すことによって，動的解析より詳細な情報を静的解析より素早く入手 できると期待される．

より広範囲なマルウェアの収集と解析

本研究ではマルウェアの収集，解析環境を用意し対策に必要となる情報を集めたが，今度 はより広範囲にマルウェアの収集と解析をおこなっていく必要がある．マルウェアは数が多 いだけではなく，企業や大学，行政機関などのネットワーク種別や国や地域に応じて異なる マルウェアの攻撃をうけるという報告もあり，本環境だけでは対象範囲が限定的であると言 える．

マルウェアの狡猾化にともない，感染経路もさらに多様化している．本研究ではMicrosoft Windowsのネットワークサービスに直接攻撃コードを送ってくるマルウェアとInternet Explorer によるWeb閲覧に関連した脆弱性を利用するマルウェアを対象としたが，他にもサードパー ティのプラグインを利用した攻撃や，メールによって攻撃コードを含むファイルを送信する 標的型攻撃がある．これらの感染経路も，今後さらに多様化すると見られる．そのため，今 後はより多くの感染経路や多様な環境に対応した収集環境が必要になるが，これは収集，解 析環境の構築にかかる負担が大きくなると予測される．本論文でも言及した通り，現状では マルウェアに関する研究に必要な情報は，当該研究者が自身で収集しなければならない．し