異常検知器を用いた未知の悪性マクロの検知手法

摘要

近年，悪性マクロを用いた標的型メール攻撃による情報流出が問題視されている．先行研究では，悪性マクロと良性マクロのソースコードから抽出した単語を分類器に学習させ，未知の悪性マクロを検知する手法が提案された．しかしながら，この手法では，良性マクロと一般的に入手しにくい悪性マクロの両方が必要であるため，運用上の課題がある．そこで本稿では，入手が容易な良性マクロのみを用い，悪性マクロを異常検知する手法を提案する．検証実験では，2533 個の良性マクロを学習させ，収集元が異なる3370 個のテストサンプルを分類させた．その結果，Ｆ値が0.99 となり，先行研究を上回った．さらに新種のマルウェアファミリを検知できることを確認した．