VirusTotalとWebアクセスログを用いたURLブロックリストの作成・管理手法の改良

Web 上に存在する多数の悪性サイトからユーザを保護する方法として URL ブロックリストが広く用いられている．先行研究では，Web アクセスログから得られたドメインの一部をマルウェア検査サービスの一種である VirusTotal に投稿してブロックリストを作成する手法やこのように作成されたブロックリストを管理する手法が提案されている．本研究では，先行研究を改良して統合することで VirusTotal を用いてより効率的にブロックリストを作成・管理し，その保護効果を評価した．評価実験の結果，先行研究と比べて VirusTotal から 1.5 倍以上の悪性 URL を収集するとともに，VirusTotal への問い合わせ数を抑えながらブロックリストを管理することができた．作成したブロックリストを 500 名規模のユーザ群の Web アクセスログとマッチングしたところ，2022 年 1 月 4 日から 8 日までの 5 日間で 56 名のユーザを保護できることを確認した．また，このリスト内のフィッシング URL と既存のフィッシングブロックリストを比較したところ，既存リストの 1.5 倍以上である 16 名のユーザを保護できることを確認した．

Blocklists of malicious URLs are widely used to prevent users from reaching malicious Web sites. Prior works have proposed a method for creating a blocklist by submitting a portion of domains obtained from Web access logs to the famous malware scanning service VirusTotal, and a method for managing the blocklist using VirusTotal. In this study, we upgrade previous methods and by combining them into one, we created and maintained URL blocklists and evaluated their detection results. Compared to previous methods, we were successful to collect malicious URLs from VirusTotal 1.5 times higher, while reducing the amount of queries to VirusTotal when maintaining the blocklist. During January 4 to 8, we matched our blocklists with Web access logs that includes more than 500 active users and found that 56 users were accessing URLs of our blocklist. We also abstracted phishing URLs from our blocklist and by comparing them with famous phishing blocklists, we found that our blocklist would match with 16 users, which is 1.5 times higher.