マルウェアは，セキュリティサービスの無効化や，自身の動作に関連する痕跡情報を改ざんするなどの機能を用いて，ユーザ及びアンチマルウェアプログラムによる検知を免れようとしている．しかし，ファイルを作成または変更するマルウェアは，ファイル管理テーブル，レジストリ，イベントログ，および通信ログに痕跡情報を残すことがよく知られている．本研究では，システム上に残された痕跡情報から，マルウェアがシステムに侵入した後の挙動パターンを調べ，その調査結果を用いてマルウェアによる改ざん内容や攻撃者の目的などを解析するためのツールを開発している．本発表では，痕跡情報を人手で抽出する際の判断基準とその判断基準をログ解析支援ツールとして実装する開発内容について説明する．さらに，通常の作業中でも記録されているログ情報のフィルタリング処理，改ざん等の不正な操作が行われたと思われるログを抽出する痕跡情報抽出処理について報告する.

Malware tries to evade detection by users and anti-malware programs using its functions such as disabling security services and falsifying traces of its activities. However, it is well known that the malware which creates or modifies files leaves some trace in the file management table, registry, event log and communication log. In this study, we are analyzing the behavior pattern of malware based on the trace information left on the system. Also, based on the results of this analysis, we are developing a tool to analyze the contents of falsification by malware and the purpose of the attacker. In this presentation, we will explain the criteria of judgement for manually extracting the trace information and the details of the analysis tool which implements it. Furthermore, we will report the filtering process of the log information recorded even during normal work and the extraction process of the trace information which extracts logs of unauthorized operations such as falsification.