マルウェア作成者の知識・技能を主眼としたインテリジェンスの収集法の提案

サイバー犯罪の調査に不可欠なインテリジェンス情報は，サイバー攻撃に関連するあらゆる痕跡がソースになる．マルウェア自体も，サイバー攻撃者が残した重要な痕跡の一つである．インテリジェンス情報の収集を目的としたディープマルウェア解析のうち，マルウェア作成者の特徴に焦点を置いた情報収集法を確立することは本研究の1つの重要な目的である．マルウェア作成者の特徴のうち，知識・技能に焦点を置いた情報の収集法を提案する．具体的な例を用いてマルウェア作成者の知識・技能に関する情報がどのようなものかを示す．本稿で述べる抽出法を利用することにより，マルウェア作成者の能力およびそれに基づいたマルウェア作成者の特徴情報を収集することができる．この方法によって，マルウェア作成者の持つ能力や，将来を含めたサイバー攻撃の意図および手法を推察するための材料となる情報を得ることができる．また，複数のマルウェアに対しこの方法で抽出した情報を比較分析することにより，マルウェア作成者の同一性，非同一性を推察する情報として利用でき，サイバー攻撃者に関する一つのインテリジェンスになると考えられる．

All evidence related to cyberattacks is a source of intelligence that is essential for cybercrime investigations. Malware is one of the most important evidence left by cyber attackers. One of the key objectives of this research is to establish information collecting methods, within the context of deep malware analysis for intelligence collecting purposes, that focus on identifying characteristics of malware creators. Among the features of malware authors, we propose the information collecting method that focuses on knowledge and skills. To demonstrate what kind of information pertains to the knowledge and skills of malware authors, it is presented specific examples. By using the extraction methods described in this paper, it is possible to collect information on the capabilities of the malware authors and their characteristic information based on that. This method provides information that can be used to infer the capabilities of malware authors and the intentions and methods of cyber attacks, including future ones. By analyzing some malware with this method, it is possible to show the identity or non-identity of malware authors and it is considered to be one of the intelligence about cyber attackers.