標的型メール攻撃対策として従来の不正なコードの検知技術ではない、ファイルフォーマットに着目した構造解析のアプローチを紹介する。ファイルサイズだけでマルウェア検知が可能になった実態や、不正なコードの中身に依存しない汎用的な検知方法を実装したo-checkerについて解説する。 標的型メール攻撃では,実行ファイルを埋め込んだ文書ファイルがよく用いられる.このような悪性文書ファイルを検知するため,これまでは不正なコードに着目した検知法が研究されてきた.ところが,不正なコードは攻撃側が任意に記述することができるため,不正なコードに着目した検知法では未知のマルウェアに対しどうしても後追いになってしまう.そこで,文書ファイルのファイルフォーマットに着目した構造解析を実施した結果,例えばファイルサイズだけで悪性文書ファイルを見ぬくことができることが判明した.その他,不正なコードの中身に依存しない悪性文書
![o-checker:悪性文書ファイル検知ツール~ファイルサイズからにじみ出る悪意 by 大坪 雄平](https://cdn-ak-scissors.b.st-hatena.com/image/square/e6b0de2a358a8fe2ca9ab6eb81cc9829a755aa54/height=288;version=1;width=512/https%3A%2F%2Fcdn.slidesharecdn.com%2Fss_thumbnails%2Fyuuheiotsubojapub-140312044240-phpapp02-thumbnail.jpg%3Fwidth%3D640%26height%3D640%26fit%3Dbounds)