多様なマルウェアに対する有効性の評価

本節では，まず，マルウェア33体について，各セキュリティベンダのレポートに 記述されたシステムに影響を与え得る挙動を Alkanet で観測できたかについて述べ，

Alkanet が多くのマルウェアに対して有効であることを示す．ここで対象とする挙動

は，ファイル，レジストリ，プロセス，スレッド，ドライバ，プロセス感染の6項目 である．なお，本評価では，ネットワークに対する挙動を観測する機能を持っていな い古いバージョンのAlkanet による解析結果を含んでいるため，ネットワークの挙動 については除外している.

解析したマルウェアの検出名，検体数および各項目における解析結果の成否を表 4.5に示す．検体33体は，MWS 2013 Datasets の CCC DATAset 2012 内に活動が 記録されている実行可能なマルウェアの中から，カスペルスキー社のアンチウィルス による検出名で網羅するように選別した．ここで，Net-Worm.Win32.Allaple.a， Net-Worm.Win32.Allaple.b，Net-Worm.Win32.Allaple.e の数が多くなっているが，CCC

DATAset 2012 の大半をこれらが占めていたためである．また，33

検体の内，Back-4.6. システムコールトレース機能の評価 41

door.Win32.IRCBot.kzr などの5検体は，カーネルモードへ侵入する挙動を持つ．こ

れらについては，カーネルへ侵入するまでを解析対象とし，それまでに観測された挙 動がレポートの内容を鑑みて妥当であるかを確認した．

表4.5に示す解析結果において，Alkanet は，対象の検体全てで各レポートに記述 された挙動と同等の挙動が観測できた．特に，33検体の内13体(39%)，検出名別で

は16種類中10種類(63%)のマルウェアが，プロセス感染機能を持つとされていたが，

Alkanet はその全てでスレッド挿入型のプロセス感染として当該挙動を観測すること

が可能であった．この結果から，Alkanet が多くのマルウェアについて挙動を解析す るに足る情報を得ることが可能であると結論づけられる．

さらに，ネットワークに対する挙動を解析する機能の評価として，Palevo.exe と

Waledac.exe の解析結果について述べる．本評価においても，前述の理由により，ネッ

トワークには接続していない環境で解析を行った．両者とも，ファイルやレジトリ，プ ロセスなどの挙動について，レポートと合致する観測結果が得られた．Palevo.exe の 解析では，8800番ポートへ複数回 connect を試みる挙動が観測された．Waledac.exe の解析では，53番および80番ポートに bind する挙動や，複数の IP アドレスの 80 番ポートに対して connectを試みる挙動が観測された．これらの観測結果は，セキュ リティベンダのレポートと合致する．以上から，Alkanet がマルウェアのネットワー クに対する挙動を観測が可能であることが確認できた．33体の解析結果とあわせて，

Alkanet はマルウェアの挙動を網羅できているといえる．

表4.5マルウェア33体の解析結果[18] 検出名(カスペルスキー)検体数ファイルレジストリプロセススレッドドライバプロセス感染 (1)ユーザモードのみで動作するもの Backdoor.Win32.EggDrop.cpc1○○---○ Backdoor.Win32.EggDrop.cpe1○○---○ Backdoor.Win32.IRCBot.jwy2○○○--○ Backdoor.Win32.IRCBot.xu1○○○--- Backdoor.Win32.Rbot.bni2-○-○-○ Net-Worm.Win32.Allaple.a5○○-○-- Net-Worm.Win32.Allaple.b8○○○○-- Net-Worm.Win32.Allaple.e4○○○○-- Trojan-Dropper.Win32.Injector.bslj1○○---○ Trojan.Win32.Genome.rioo1-○-○-- Trojan.Win32.VBKrypt.imgt1○○---○ Worm.Win32.Ngrbot.jit1○○---○ (2)カーネルへの侵入を試みるもの Backdoor.Win32.IRCBot.kzr1○○--○- Backdoor.Win32.Rbot.adqd2○○---○ Trojan.Win32.Inject.achx1○○○-○○ Virus.Win32.Virut.av1○○---○ ○:観測できた，-:レポートに記載なし