SSSSLIDE

o-checker:悪性文書ファイル検知ツール~ファイルサイズからにじみ出る悪意 by 大坪 雄平

byCODE BLUE

2014/03/12にアップロード

標的型メール攻撃対策として従来の不正なコードの検知技術ではない、ファイルフォーマットに着目した構造解析のアプローチを紹介する。ファイルサイズだけでマルウェア検知が可能になった実態や、不正なコードの中身に依存しない汎用的な検知方法を実装したo-checkerについて解説する。
標的型メール攻撃では,実行ファイルを埋め込んだ文書ファイルがよく用いられる.このような悪性文書ファイルを検知するため,これまでは不正なコードに着目した検知法が研究されてきた.ところが,不正なコードは攻撃側が任意に記述することができるため,不正なコードに着目した検知法では未知のマルウェアに対しどうしても後追いになってしまう.そこで,文書ファイルのファイルフォーマットに着目した構造解析を実施した結果,例えばファイルサイズだけで悪性文書ファイルを見ぬくことができることが判明した.その他,不正なコードの中身に依存しない悪性文書ファイルの検知法を実装したo-checkerというツールを紹介する.

大坪 雄平 - Yuuhei Ootsubo

1987年頃よりプログラムに興味を持つ
2005年警察庁入庁.
2007年警察庁生活安全局情報技術犯罪対策課.
2010年警察庁情報通信局情報技術解析課.
2012年より内閣官房情報セキュリティセンター出向

参照元: http://www.slideshare.net/codeblue_jp/yuuhei-otsubo-japub