@techreport{oai:ipsj.ixsq.nii.ac.jp:00194814,
 author = {山之上, 卓 and 長副, 誉司 and Takashi, Yamanoue and Takashi, Nagasoe},
 issue = {5},
 month = {Feb},
 note = {悪性 Botnet 包囲網により，WannaCry のような LAN のスキャンを行うマルウェアの動作検知を試みたことについて述べる．WannaCry はその感染拡大を行うため，組織内外のホストの TCP/445 ポートに接続を試みる．様々なホストの TCP / 445 ポートへの接続試行 （scan） を行っているホストを見つけることにより，WannaCry に感染しているホストをある程度発見することができる．しかしながら，もし，同様のマルウェアが組織外のホストに対する scan を行わない場合は，組織の出入り口の監視のみではこのマルウェアを発見することは困難である．本論文では，このような，組織外との通信をあまり行わないマルウェアも含めた，WannaCry のようなマルウェアの検知方法について述べる．この検知方法を安全に検証するため，本物のマルウェアの代わりに，スキャンを行うマルウェアの動作を真似たプログラムを作成し，利用した．, An attempt to detect malware, such like WannaCry, by bots of the malicious botnet capturing network, is discussed. WannaCry attempts to connect the compromised host to the TCP/445 port of hosts which are connected to networks of inside and outside of an organization, in order to reproduce itself. The host with WannaCry can be detected by finding out the host which is scanning TCP/445 ports of many hosts. However, if a malware, which is similar to WannaCry, does not scan outside of the LAN with the compromised host, it is hard to find out the compromised host by monitoring the traffic at the network doorway of the organization. We discuss the way to detect the host with the such malware using the beneficial botnet. We also made the pseudo WannaCry in order to evaluate the way.},
 title = {悪性Botnet包囲網のBotによるWannaCryのようなマルウェアの活動検知の試み},
 year = {2019}
}