悪性Botnet包囲網により, WannaCryのようなLANのスキャンを行うマルウェアの動作検知を試みたことについて述べる. WannaCryはその感染拡大を行うため, 組織内外のホストのTCP/445ポートに接続を試みる. 様々なホストのTCP/445ポートへの接続試行(scan)を行っているホストを見つけることにより, WannaCryに感染しているホストをある程度発見することができる. しかしながら, もし, 同様のマルウェアが組織外のホストに対する scan を行わない場合は, 組織の出入り口の監視のみではこのマルウェアを発見することは困難である. 本論文では, このような, 組織外との通信をあまり行わないマルウェアも含めた, WannaCryのような マルウェアの検知方法について述べる. この検知方法を安全に検証するため, 本物のマルウェアの代わりに, スキャンを行うマルウェアの動作を真似たプログラムを作成し, 利用した.