@techreport{oai:ipsj.ixsq.nii.ac.jp:00045077,
 author = {武藏, 泰雄 and 松葉, 龍一 and 杉谷, 賢一 and Yasuo, Musashi and Ryuichi, Matsuba and Kenichi, Sugitani},
 issue = {18(2002-CSEC-020)},
 month = {Feb},
 note = {Frethem.K等の大量メール送信型ワーム(MMW)の感染拡大が進行している時に、DNS及びE-mailサーバ間のドメイン名前解決UDPパケットの流量およびメールサーバにおけるSMTP access logに関する統計的調査を行なった。我々の得た興味深い結果は以下の通りである:(1) MMWの感染したPC端末が増加すると、配送延期されたE-mail(stat=Deferred)数が増加する。(2) 配送延期されたE-mail数が増加すると見掛け上DNS名前解決(Dq)流量が増加する。これらは未知のMMWが検知されると、多くのE-mailサーバにおいてE-mailの受信を拒否することがしばしば行われるためであると考えられる。その結果、E-mailサーバのDNSサーバに対するDqおよびSMTP syslogを監視することにより、MMWの感染の拡がりを検知可能であることが示唆された。), The DNS query (Dq) traffic between the DNS and E-mail servers of Kumamoto University was statistically investigated when a lot of PC terminal were infected by the mass mailing worm (MMW) like Frethem. K. The interesting results are: (1) The number of the deferred E-mail (stat=Deferred) increases when the MMW infected-PC terminal increases. (2) The Dq traffic increases in appearance when the number of the deferred E-mail increases.  This is because a lot of E-mail servers are frequently closed to the E-mail receiving after detection of an unknown MMW. Therefore, we can detect an increase in MMW-infection by monitoring the Dq traffic from the E-mail server to the DNS server and the SMTP syslog of the E-mail server.)},
 title = {DNSトラフィックとメールサーバのログ解析},
 year = {2003}
}