マルウェア感染端末は攻撃に関する情報を取得するためCommand and Control(C&C)サーバと通信するが，この通信を確立させるためにDNSサーバへの問い合わせが発生するケースがある．先行研究では，マルウェア感染端末のDNSクエリログに着目し，C&Cサーバとの通信の前後に特徴的な挙動が現れると仮定して，既知悪性ドメインとの共起関係を導出することで未知の悪性ドメインを抽出する手法が提案されているが，データ量が少ない場合に結果が安定しないという課題がある．そこで本研究では，DNSクエリに対するレスポンスや時間の情報を付加することで悪性ドメインの検出精度の改善手法を提案し，その有効性を評価する．