不正プログラムおよび不正ドキュメントの調査と検索とソフトウェア開発

不正プログラムおよび不正ドキュメントの調査と検索とソフトウェア開発
金沢 雅彦、金山 達來、鈴木 輝
鶴岡 秀臣、蛭間 久季、渡部 章
株式会社
アークン
侵入や攻撃などの不正アクセスを目的としたツールやトロイの木馬などの不正プログラム、そし
て、それらのツール作成手法、不正アクセス手法、テロ手法など、ネットワークの不正行為や犯罪
を幇助する不正ドキュメントが増加している。それら不正ファイルの調査、サンプリング、分析を
実施した。また不正ファイル検索ソフトのプロトタイプを開発して既存の業務システムに組み入れ、
不正ファイルを検索する機能を利用することにより、実環境における妥当性を検証した。
1. はじめに
ベンダーに公開することで既存セキュリティ製品に
機能追加を促進できる他、ロボット型のインターネ
1.1 背景
ット検索エンジンの検索キーとして利用すれば不正
侵入や攻撃などの不正アクセスを目的としたツー
サイトの発見にも利用できるため、電子政府に留ま
ルやトロイの木馬などの不正プログラム、そして、
らず、社会に与える波及効果が期待できる。
それらのツール作成手法、不正アクセス手法、テロ
手法など、ネットワークの不正行為や犯罪を幇助す
２．研究開発の目標と内容
る不正ドキュメントが増加している。これらのファ
この課題を解決するためには、様々な用途で用い
イルは第三者によって外部から故意に導入されてい
られるセキュリティ製品が共通に利用できる不正フ
たり、内部犯によってネットワーク内にアーカイブ
ァイル検索用ストリングを提供することに他ならな
され、悪用される危険性が多いにあるため、安全な
い。したがって、本研究開発の目標は、より実用的
電子政府の運用にとって、これらの対策は必要かつ
な検索ソフトウェアを完成させることではなく、不
緊急を要する。
正ファイルの実態調査を実施し、各セキュリティベ
ンダーが利用可能な検索ストリングのデータベース
1.2 課題
化に主眼を置いた。
既存の脆弱検知システム、ウイルス対策システム、
開発する不正ファイル検索ソフトウェアは、実証
侵入検知システムなどのセキュリティ製品や技術で
実験を行うためのプロトタイプと、電子政府運営に
は、不正該ファイルを総合的に検知するためのデー
あたり便利性を向上させたユーザーインターフェー
タベースおよび機能を有していないため能動的な対
スを拡張したバージョンとした。
策を実施できないでいる。
本年度の当該ソフトウェアの性能目標は、実証実
験を行うためのプロトタイプの完成と過去の代表的
1.3 本テーマ実施に期待される効果
な不正ファイルが検索可能な性能を有することであ
本テーマは、検索用ストリングを各セキュリティ
り、品質目標は、誤認識率３％以下とした。
1
3. 本年度の活動状況
不正ファイルに関する調査結果サンプリングした
実ファイルを基に以下の項目について集計・分析を
3.1
調査研究
実施し、一覧作成のための項目を定義した。
調査研究作業は、不正ファイルの調査とサンプリ
ング、調査結果と実ファイルの分析作業、検索用ス
3.1.2.1 不正ファイル
トリングの研究にわかれて実施した。
本年度の不正ファイル調査によってサンプリング
調査作業は、不正ファイルについての記述や、こ
した不正ファイルの全アーカイブ数は 572 ファイル
の関連分野のキーマンの意見を取り纏めること、そ
で、ファイルを解凍した後に生成されたファイル数
して、実ファイルの入手を最大の目的とした。
が 4,220 ファイル（アーカイブファイルを含む）で
分析作業は、サンプリングした不正ファイルの全
あった。また、その内 setup.exe、install.exe な
体を分析することで、それぞれのファイルの用途・
どのインストールプログラムは 15 ファイルあり、イ
目的・ファイルタイプから、不正ファイルの分類と
ンストール後に新たに生成されたファイルが 206 フ
危険度を定義した。次に、各不正ファイルを分析す
ァイルであった。従って合計は 4,426 ファイルであ
ることで、その名称や俗称、作成年月日、作成者、
る。その内ウイルス対策ソフトウェア（今回は
概要を明確化した。
Norton AntiVirus V5.0 02/02/21 付の定義ファイル
を使用）によって、検出されたものは 124 ファイル
3.1.1 文献、Web、面接調査
（圧縮ファイル中に発見したものを含む）であった。
1998 年以降発表の関連する文献、及び Web サイト
従って合計 4,426 ファイルから 124 ファイルを除い
を対象に下記の項目についての調査と不正ファイル
た 4,302 ファイルが本プロジェクトの対象となった。
のサンプリングを実施した。
l
サンプリングの可否
l
不正ファイルの名称（俗称）
l
作成年月日
l
作成者名
l
不正ファイルの概要
下記のグラフは、不正ファイルの推移をツールと
ドキュメントに分けてグラフ化したものである。
不正ファイルの推移
100
90
80
Web サイトの中には調査後に URL が他に変更・消
70
60
滅したものが含まれる。従って、サイトのイメージ
50
を報告するためにサイト情報（ HTML ファイルおよび
40
画像ファイルなど）を極力ダウンロードしデータと
30
20
して保存した。
10
また、情報セキュリティおよび当該プロジェクト
0
80 81 82 8 3 8 4 85 86 87 88 89 9 0 91 92 93 94 95 9 6 9 7 98 99 0
に関する分野においての経験があり、文献や講演な
ドキュメント
1
2
ツール
どの実績があるのキーマンからの情報収集を実施し
た。その結果、不正ファイルに関して、種類・分類、
以下の項目についてサンプリングした不正ファイ
被害予想、被害額、コンピュータシステム、ネット
ルを一覧にした。
「不正ファイル番号、調査日、調
ワーク、組織、および社会に与える影響、対策、参
査員、名称（俗称）、分類、概要、アーカイブ名、
考になる書籍、Web サイト、個人、法人などの情報
作成者、作成日、危険度、アーカイブ解凍後のフ
源について多様な意見と情報を収集できた。
ァイル名、検索対象か否か、ウイルス対策ソフト
での名称、検索対象ファイル名」本年度の不正フ
3.1.2 集計・分析
ァイル番号は 1 番から 572 番までである。
2
3.1.2.2 名称、及び俗称のつけ方について
本プロジェクトで使用する分類については、極力
実行型ファイルは、ほとんどの場合そのプログラ
日本語名を使用することにした。以下は、本プロジ
ム名を名称としている。また、ドキュメントの場合
ェクトで使用した分類名である。
はドキュメントにタイトルが無い限り、そのドキュ
「攻撃ツール、パスワード解析ツール、電話不正利
メントの概要を記述している場合が多く確定的な名
用ツール、電話不正利用ドキュメント、不正アクセ
称は存在しなかった。従って、下記の順位で不正フ
ス・ツール、その他ドキュメント、不正アクセス・
ァイルの名称を命名することにした。
ドキュメント、電話回線解析ツール、クレジットカ
l
作者が命名した名称
ード偽造・不正利用、なりすましツール、脆弱検知
l
一般的に使用されている名称
ツール、パスワード解析用辞書、メール爆弾、リモ
l
ツールのプログラム名（バージョン名があれば
ート管理ツール、DoS / DDoS 攻撃ツール、ISP 不正
それも含める）
アクセス・ツール、IRC 攻撃ツール、ウイルス作成
l
アーカイブファイル名（拡張子を除く）
ツール、キーストローク盗聴ツール、逆アセンブラ、
l
ファイル名（拡張子を除く）
攻撃ドキュメント、不正アクセス・ソースコード、
ポート・スキャナ、IRC 攻撃ソースコード、ウイル
3.1.2.3 分類方法について
ス・スキャナ、攻撃ツール、トロイの木馬、なりす
英語表記、日本語表記、造語、同意語など様々な
ましソースコード、ネットワーク監視ツール、ワー
分類が存在した。大分類としては、実行型ファイル
ム、ワーム・ソースコード」
（Executables ）、ソースコードファイル（Source
Code）
、ドキュメントファイル（ Documents）
、アーカ
3.1.2.7 危険度について
イブファイル（Archives）としている情報があった。
危険度を示す情報は皆無であった。当初 5 段階を
検討していたが、あまりにも細分化されすぎていて
3.1.2.4 作成者について
判断に迷うことも多く実際的でないため、3 段階と
572 種類の不正ファイルのアーカイブの中で、作
した。ただし、検索ソフトウェアの実証実験のため
者が判明したものは 165 で、全体の 28.8 ％であっ
に利用した「テストファイル」をデータベースに追
た。
加しているために、最終的には危険度 0 を含む 4 段
作成の意図については、情報量が非常に少なく集
階とした。
計するに及ばなかった。
4 段階の危険度を以下の通り定義した。
危険度３：破壊、停止のレベル、システム破壊、シ
3.1.2.5 検索対象とするか否かについて
ステム停止（サーバダウン）など。
大分類を実行型ファイル（Executables）
、ソース
危険度 ２：書く、盗む、不正利用、いたずら、迷惑
コードファイル（Source Code ）
、ドキュメントファ
をかけるレベル、Web・ファイルの書き換
イル（Documents）
、アーカイブファイル（ Archives）
え、ファイル削除、spam、メール中継サ
とし、検索対象とするべき代表的なファイルタイプ
ービス低下、侵入、情報漏洩、不正アカ
として以下を選択した。
ウント作成など。
実行型ファイル： .com、.exe
危険度１：読む、見るのレベル、レベル２やレベル
ソースコードファイル： .c、.java、.cgi、.html
３のための調査行為、セキュリティホー
ドキュ メントファイル：.doc、.txt
ル調査、パスワードファイルの窃取など。
アーカイブファイル：.lzh、.zip、.cab、.gz、.tgz
危険度０：全く危険度が無いレベル、実証実験や研
究のために容易したテストファイルを検
3.1.2.6 分類について
出するために用意した。
3
3.1.2.8 作成年月日について
は、a 進法において長さ b の配列の組合せ総数から
不正ファイルがドキュメントの場合や、ツールに付
a 進法の長さ c の配列を含む確立を求めればよい。
属するドキュメントに作成年月日がある場合は、そ
a 進法において長さ b の配列の組合せ総数から a 進
れを作成年月日とした。
法の長さ c の配列を含む確立は、
それ以外の場合は、アーカイブを解凍したときに
= a^(b?c) x (b?c+1) ÷ a^b
生成されるファイルの作成年月日を採用した。
= (a^-c) x (b?c+1)
となる。
3.1.2.9 概要について
この方程式を利用して、任意のファイル長の組合
不正ファイルの概要把握は、その作業量が膨大に
せ総数に対して、任意のストリング長がマッチング
なることと、当該ソフトウェアに情報として実装す
する確立をグラフ化した。
ることが本プロジェクトの主目的であるために、極
ストリング長とマッチング確立との関係
力簡素化した。
0.030%
3.2 研究作業
研究作業は、当該ソフトウェアに利用する検索用
0.025%
ストリングをどのように不正ファイルから抽出すれ
ば、誤認識が少なくなるか、また効果的かを研究し、
そのストリングを決定することを目的とした。また、
0.020%
マッチング確立
これら調査研究の成果は、当該ソフトウェアが利用
するデータベースのデータ項目とした。
3.2.1 ファイルタイプによるストリングについて
0.015%
0.010%
検索ソフトが長い検索ストリングを利用すれば誤
認識は確実に少なくなるが検索が低速になる。同様
0.005%
に検索速度を重視して短い検索ストリングを利用す
れば誤認識は確実に多くなる。従って、最適なスト
リング長を見出すことが必要である。
0.000%
8
しかし、ファイルタイプによっては、定めた位置
9
10
11
ストリング長
にそのファイルタイプでは共有の情報が書かれてい
51,200
307,200
たり、何も書かれていなかったり、または、一般的
102,400
512,000
204,800
1,048,576
なプログラムコードや文字列が書かれている場合も
少なくない。従って、全てのファイルタイプにおい
このグラフから、ファイルサイズにさほど関係無
て、定位置から定量のバイナリを抽出して検索スト
く、ストリング長を 9 バイト以上とした時に、マッ
リングとするアプローチは不可能であり、ファイル
チング確立は著しく低下することがわかった。
タイプ別に、有効なストリングの位置と量とを検討
次に、実際の平均的ファイルサイズを把握するこ
しなければならない。
とで、上記の方程式を利用して最適なストリング長
を推測することにした。平均的ファイル長が
3.2.2 ストリング長
115,040 バイトの場合の各ストリング長とマッチン
全てのファイル内容の組合せ中で、重複性が無い
グ確立との関係についてグラフに示す。
ストリング長を確立的に推測することにした。これ
4
性が高く誤認識が頻発するストリングや、ファイル
平均的ファイル長におけるストリング長とマッチング
確立との関係
長が短い場合などについては、再検討の上、そのフ
ァイル独自のストリングを手作業で抽出することに
0.00018%
した。
0.00016%
3.2.4 各種ファイルタイプのフォーマット情報
マッチング確立
0.00014%
ストリングを抽出するときの適正なストリング位
0.00012%
置について、実験結果からの情報以外に、公開され
0.00010%
ている各種のファイルタイプのフォーマット情報も
参考にすることで、より誤認識率を低下させること
0.00008%
にした。
0.00006%
参考にした Web サイト：
http://www.wotsit.org/
0.00004%
0.00002%
3.2.5 誤認識の軽減手法
0.00000%
誤認識を低下させるための手法には下記がある。
9
10
ストリング長
11
115,040
l
適正な長さのストリング長にする。
l
ファイルフォーマット特有の共通コードを避
けてストリングを抽出する。
l
ストリングが 10 バイトの時のマッチング確立は
0.0000105%であるが、これは、9,558,394 ファイル
ストリングに不正ファイル特有の文字コード
を採用する。
に 1 つの確立でマッチングすることになる。ファイ
l
複数のストリングを利用する。
ルサーバ 1 台を 5 台のクライアントで共有している
l
ストリングと拡張子の組合せを利用する。
ネットワーク規模においてのファイル数は 172,479
l
ストリングとファイルサイズの組合せを利用。
であるため、約 55．4 倍の規模のネットワークであ
l
ストリングとファイル日の組合せを利用する。
っても一つのファイルしかマッチングしないことに
l
大量の任意のファイルに対して総当り方式で
なる。これは不正ファイル検索ソフトとして十分に
ストリングの有効性を確認する。
実用的な数字と言える。
3.2.6 適正なストリング長と共通コード
3.2.3 ストリング位置
前述したストリング長とストリング位置の研究は、
ファイルの種類によっては、僅か 10 バイトほどの
誤認識を低くすることを前提に実施された。誤認識
ストリングでは、同一のストリングが複数のファイ
しないためにストリングは長ければ長いほど好まし
ルに含まれていることは多い。
い事は言うまでもない。それらの研究成果から誤認
そこで、本プロジェクトで検索対象とするファイ
識の少ない最短のストリング長は約 10 バイトであ
ルタイプについて、それぞれ適切なストリング抽出
ることがわかった。また、ファイルタイプによって
位置を調べた。
そのファイルフォーマット特有の共通コードがヘッ
ただし、ここで分析した結果により、各ファイル
ダー部分に多数存在していることが認められた。従
タイプにおいて決定したストリングの抽出開始位置
って、誤認識の少ないストリングを抽出するために
については、あくまで作業効率上標準的なものであ
は、ファイルタイプ別に共通コードを避けながら、
り、絶対的なものではない。従って、明らかに共通
ストリングの抽出位置を決定する必要がある。
5
3.2.7 不正ファイル特有の文字コード
ソフトウェアを完成させることではなく、不正ファ
不正ファイル特有の文字コードをストリングとし
イルの実態調査を実施し、各セキュリティベンダー
て採用すれば誤認識は少なくなる。不正ファイル中
が利用可能な検索ストリングのデータベース化に主
に現れる特有のコードとしては、作者の著作権表示、
眼を置くことである。従って、今回は検索技術の基
作者の名前、ファイル名、ツール名などがある。
本的なものを利用している。但し、最も実行速度に
ただし、同一作者が複数の不正ファイルを作成して
影響するファイルのリードに関しては、標準の手法
いる場合や、その不正ファイルに複数のバージョン
では検索ストリングの総数に比例して処理時間が推
が存在している場合には、同一情報がファイルに含
移するため、その点は効率の良いアルゴリズムを採
まれている場合が多いため注意が必要である。また、
用した。検索アルゴリズムを３つの検索プロセスに
不正ファイルの中には、作者が違っていても同名の
分類すると、今回使用したアルゴリズムは次のよう
ファイル名やツール名が多数存在していることが調
なものである。
査でわかっている。
ファイルスキャン
再起関数による効率的ファイルシステムのスキャ
3.2.8 有効な誤認識軽減方法の選択
ングファイルスキャンエンジン関数から、同一関数
上記に挙げた誤認識を軽減する各方法を組み合わ
を呼び出すことにより処理の簡素化を図っている。
せて利用すれば、確実に効果が上がるが、複数の手
ファイルリード
法を併用することは、プログラム処理を複雑化させ、
検索するパターンの数分だけ、ファイルを重複し
その結果、検索速度をかなり犠牲にすることを覚悟
て読み込んでいてはパターン数に対して、線形的に
しなければならない。
処理時間が推移してしまうため、本システムでは、
今年度の当該ソフトウェアの開発では、不正ファ
一度リードした内容を取っておいて全てのパターン
イルに対してストリングは 1 つとし、また、
「適正な
に対して同列的に処理している。
ストリング長と共通コード」および「不正ファイル
パターンマッチング
特有の文字コード」の何れかの手法に従ってストリ
検索するパターンマッチング処理は、各パターン
ングが決定された。
長の分を比較されるリードバッファをスキップして、
パターン長の末尾から前方方向にマッチング処理を
3.2.9 検索速度を上げるための手法
実施している、これにより通常先頭からのマッチン
検索速度を上げるための手法には下記があること
グ処理よりも、早期に検索されるファイル長が検索
がわかった。
パターンより短くなった場合その検索処理を省略す
l
誤認識の少ない最短のストリング長を使用。
ることができる。通常のファイルでもその恩恵は、
l
マッチングした時、残りのコードを検索しない
検索ファイル数が多くなれば目に見えて現れてくる
で次のファイルを検索する。
が特に次のような場合に高速化効果が得られる傾向
l
検索対象のファイルタイプ以外は検索しない。
にある。
l
ファイルタイプに適した場所だけを検索する。
l
検索パターンが長い場合
l
ストリングがある場所だけを検索する。
l
ファイル長の短いファイルが多くある場合
l
検索速度の速い検索アルゴリズムやデータベ
ース・フォーマットを使用する。
l
3.2.11 検索データベース
検索エンジン部分をアセンブラ言語にする。
検索データベースは、一度にメモリ上に展開して
パターンを取得している為、通常の二次記憶のデー
3.2.10 高速検索アルゴリズムの利用
タベースアクセスによるものより高速にスキャンす
本プロジェクトの主な作業は、より実用的な検索
ることができるものである。
6
3.3 検証実験
各社とも、業務中にフリーズ、または強制終了な
ど当該ソフトウェアの不具合は発生しなかったこと
3.3.1 実験の概要
から、システム管理業務での安全性について確認で
本実験は、機能開発の成果物である当該ソフトウ
きたと言える。
ェアを既存の業務システム（5 ヵ所の一般企業およ
び財団法人）に組み入れ、不正ファイルを検索する
3.3.2.3 システム管理業務での運用性の検証
機能を利用することにより、実環境における妥当性
当該ソフトウェアをシステム管理業務のフローに
と誤認識の検証をするものである。本実験を実施す
付け加え、他の管理業務におよぼす影響を検証する。
る期間を２ヶ月間とした。また、参加する利用者は、
実際に当該ソフトウェアをシステム管理業務のフロ
その業務システムの管理者とした。
ーに付け加え運用することによって、ログ管理、メ
ンテナンス、当該ソフトウェアの実行とその結果に
3.3.2 システム管理業務との妥当性の検証
対する対処等を、実験対象に選定された実験環境内
本実験は、機能開発の成果物である当該ソフトウ
の検証用 PC のシステム管理者に 2 ヶ月の実験期間後
ェアを既存の業務システムに組み入れ、不正ファイ
にアンケート、またはヒアリングを行い、当該ソフ
ル検索機能を実際に内部クライアントから管理者に
トウェアの運用性についての回答を提出してもらっ
利用してもらい、当該ソフトウェアの運用実績を示
た。各意見からシステム管理業務フローでの運用性
す履歴（ログ）、およびメモリ消費量の状況を蓄積し
について技術的な問題は無いことが確認できた。
ていくことによって、整合性、安全性、運用性とい
った観点から妥当性を検証するものとする。
3.3.3 当該ソフトウェアの誤認識の検証
本実験は、当該ソフトウェアがその主機能である
3.3.2.1 システム管理業務との整合性の検証
不正ファイル検索機能において、正常ファイルを不
実験対象に選定された実験環境内の検証用 PC で、
正ファイルと誤認識を起こすなど、本物の不正ファ
当該ソフトウェアの検索前、検索時、検索後に検証
イルについて検出漏れを起こさないかについて誤認
用 PC の CPU 使用率、メモリ使用量、ネットワークト
識のレベルを検証するものとする。
ラフィック使用量、ファイルアクセスログを計測し、
当該ソフトウェアが正しくリソースを取り扱ってい
3.3.3.1 真偽性の検証
るかを検証する。これにより、当該ソフトウェアに
実験対象に選定された実験環境内の検証用 PC に、
よる不要なリソース消費の有無を実験する。
正規の OS・複数のアプリケーションをインストール
以上の実験結果から、当該ソフトウェアが正しく
し、当該ソフトウェアを使って検索を実施した。
リソースを取り扱っていることが確認できた。従っ
各アプリケーションについて、当該ソフトウェア
て、システム管理業務との整合性について問題が無
で検査した結果、全てのファイルについて不正ファ
いと言える。
イルと認められなかった。従って、当該ソフトウェ
アの「検索ストリング」は、この検証実験の環境に
3.3.2.2 システム管理業務での安全性の検証
おいて正常に動作し、誤認識を起こさなかったと言
システム管理業務中に、当該ソフトウェアによる
える。
不具合の発生の有無を検証する。本実験期間中の 2
ヶ月間のあいだに、実験対象に選定された実験環境
3.3.3.2 検索の正常性の検証
内の検証用 PC で使用し、業務中にフリーズ、または
上記検証が終了した検証用 PC に、本プロジェクト
強制終了など当該ソフトウェアの不具合が発生する
の調査によって、データベースに登録した「テスト
かを実験した。
ファイル」をコピーした。この段階で検証用 PC には、
7
「検索ストリング」に登録されている「テストファ
検索はリモート検索の 1.48 倍（リモート検索はサー
イル」が存在することになり、当該ソフトウェアの
バー検索の 63.1％）の検索速度であることがわかっ
検索が正常に機能しているかどうかを検証できる。
た。
「テストファイル」は、全て当該ソフトウェアで
検出できた。また、この時他のファイルは不正ファ
４．外部発表及び成果物
イルと認められなかった。従って、当該ソフトウェ
アの検索が正常に機能したと言える。
4.1 本テーマ実施内容を含んだ外部発表論文等
特になし。
3.3.3.3 検索対象の妥当性の検証
実験対象に選定された実験環境を取り扱うシステ
4.2 成果物
ム管理者にアンケート、またはヒアリングを行い、
l
システム管理者が危険と思われる「不正ファイル」
（調査研究編、ソフトウェア設計編、取扱説明編、
を推薦してもらった。
開発成果報告書
１部
検証実験編、別紙：不正ファイル一覧）
l
攻撃ツール
l
ソースプログラム
１式
l
パスワードを羅列したもの
l
ロードモジュール
１式
l
WinMX 等のファイル共有化ツール
l
セキュリティホールを検知できる製品
l
ハッキングツール
l
リモートコントロール・ツール
５．今後の課題
本年度プロジェクトの調査研究および検証実験の
過程で、今後の課題となった事項は以下である。
l
上記の意見で出された不正ファイルは、共有化ツ
ールを除いて当該ソフトウェアの検索ストリングの
不正ファイルの大分類、中分類、小分類といっ
た系統的な分類法について
l
対象となっている。
自動解凍しながらその中のファイルのみを検
索できる機能について
l
3.3.3.4 誤認識率の検証
当該ソフトウェアの誤認識率を実測した。サイズ
誤認識の軽減する手法と検索速度の劣化の関
係について
l
967ＭＢ（1,014,469,763 バイト）、ファイル数 11,038
ファイルがあるフォルダに対して当該ソフトウェア
ファイルタイプによる検索場所の指定機能追
加について
l
を実行した。このフォルダには今回検索対象となっ
ている各種の不正ファイルを含んでいる。その結果、
ストリングによる検索場所の指定が効果的か
どうかについて
l
この実験範囲において誤認識は認められなかった。
また、各社の実証実験環境でも同様に誤認識は認め
検索速度向上のために検索アルゴリズムやデ
ータベース・フォーマットの機能向上について
られなかった。
l
検索速度と開発言語の関係について
l
ログ管理機能、処理機能、詳細表示機能、DB の
3.4 検索速度
パスワード保護機能の追加について
当該ソフトウェアの検索速度を実測した。サーバ
l
ファイル共有化ツールへの対応について
ー検索では平均で、秒あたり 42.54 ファイル、3.77
l
大規模な実験環境における誤認識率の実験に
Ｍバイト／秒の速度であった。また、クライアント
ついて
へのリモート検索では、22.09 ファイル／秒、2.38
Ｍバイト／秒の検索速度であった。検索するネット
ワーク環境によるが、この実験の場合は、サーバー
8
６．まとめ
PC Interrupts
Ralph Brown & Jim Kyle, Addison-Wesley, 1994.
本テーマを実施するにあたり、書籍調査、Ｗｅｂ
ISBN: 0-201-62485-0
サイト調査、キーマンへの面接を実施し、情報の収
Protection and Security on the Information
集と不正ファイル 572 種類のサンプリングを実施し
Superhighway
た。
Frederick B. Ohen, 1995, Wiley.
次にそれらの情報を分析し、不正ファイルの定義
ISBN: 0-471-11389-1
や、本テーマの開発目標である不正ファイル検索ソ
Computer Security
フトウェアに実装するための最適なストリング、お
Dieter Gollmann, 1999, Wiley.
よび誤認識と検索速度を向上させるための研究を実
ISBN: 0-471-97844-2
施した。
Malicious Mobile Code: Virus Protection for
また、本年度の当該ソフトウェアの性能目標であ
Windows
る実証実験を行うためのプロトタイプを完成させ、
Roger A. Grimes, O'Reilly, 2001.
上記のストリング情報を実装した。
ISBN:1-56592-682-X
最後に、実環境における妥当性と誤認識の検証を
することで、本年度の当該ソフトウェアの性能目標
以上
である過去の代表的な不正ファイルが検索可能な性
能を有すること、および品質目標である誤認識率
３％以下をクリアすることを確認した。
以上、今回は不正ファイル検索の基本機能として、
実用的範囲で且つこれからの検索高速化に対して確
実な技術基礎を築いたと考えられる。
７．参考文献
A Short Course on Computer Viruses
Dr. Frederick B. Cohen- 2nd Ed., Wiley, 1994.
ISBN 0-471-00768-4
Survivor's Guide to Computer Viruses
Editor: Victoria Lammer, Virus Bulletin, 1993.
ISBN 0 9522114 0 8
Computer Crime, A Crimefighter's Handbook
David Icove et al, O'Reilly, 1995.
ISBN:1-56592-086-4
Computer Security Basics
Deborah Russell et al, O'Reilly, 1991.
ISBN: 0-937175-71-4
Secrets & Lies
Bruce Schneier, Wiley, 2000.
ISBN: 0-471-25311-1
9