@inproceedings{oai:ipsj.ixsq.nii.ac.jp:00228622,
 author = {河原, 晃平 and 津田, 侑 and 金城, 聖 and 毛利, 公一 and Kohei, Kawahara and Yu, Tsuda and Akira, Kanashiro and Koichi, Mouri},
 book = {コンピュータセキュリティシンポジウム2023論文集},
 month = {Oct},
 note = {標的型攻撃の実態を把握するためには，攻撃者が使用する標的型マルウェアの機能を明らかにするだけでなく，攻撃者がC&C サーバを介して標的組織に侵入し行う活動を観測・分析することが重要となる．実態を把握する上で，標的型マルウェアを入手する必要があるが，一般的に，攻撃者が利用したマルウェアを標的組織から直接入手することは困難であるため，解析者はVirusTotal に代表されるマルウェア検査サービスに投稿されたマルウェアを入手・解析することになる．特に，攻撃に使用されるC&C サーバの活
動時間が極端に短い場合が多いことから，解析者はマルウェア検査サービスに投稿されたマルウェアのなかでも，投稿されて間もないマルウェアの解析を試みる．しかし，投稿されて間もないマルウェアを用いた解析がもたらす攻撃者の活動やその観測結果への影響については議論が乏しい．そこで，マルウェア検査サービスへマルウェアが投稿されてからの経過時間によって鮮度を定義し，鮮度が攻撃者の挙動観測に与える影響を調査する．本論文では，鮮度と攻撃観測成功確率の関連性を調査するための方法を提案する．, In order to understand the real situation of targeted attacks, it is important to analyze the activities of RAT operators via C&C servers, not only to clarify the functions of targeted-attack malware. It is necessary to obtain targeted-attack malware for grasp the actual situation. In general, however, it is difficult to obtain malware used by attackers directly from the target organizations, so analysts obtain malware from malware scanning services such as VirusTotal. In particular, since the lifetime of the C&C servers used in attacks is often extremely short, analysts attempt to analyze malware that has been submitted to malware inspection services for a short period of time after it is submitted. However, there is little discussion aboutthe impact of the analysis using that malware on the observation results. Therefore, we use freshness that
is defined by the time elapsed since the malware was submitted to a malware inspection service. Then We investigate the impact of freshness on the observation of attacker behavior. In this paer, we propose an investigation method for revealing relationship between freshness and attack observation success rate.},
 pages = {57--62},
 publisher = {情報処理学会},
 title = {標的型マルウェアの鮮度と攻撃観測成功率の関連性調査手法},
 year = {2023}
}