富士通ら2社、やり取り型の標的型メール攻撃を検知する技術を開発

NO BUDGET 2016年01月25日 10時53分

  • このエントリーをはてなブックマークに追加

 富士通と富士通研究所は1月21日、特定の組織などを攻撃対象とする標的型メール攻撃をリアルタイムに検知する技術を開発したと発表した。

 “やり取り型”の標的型メール攻撃において、普段と異なる不審な動作を素早く検知し、先回りして対策を可能にするという。両社では今後、検知可能となる標的型メール攻撃の範囲を広げ、検知精度をさらに向上させ、サイバー攻撃対策や情報漏洩対策として2016年度の実用化を目指す。

やり取り型の標的型メール攻撃の検知例(富士通提供)
やり取り型の標的型メール攻撃の検知例(富士通提供)

 近年では標的型メール攻撃が高度化しており、攻撃者は業務に関連した要件を装って巧みにコミュニケーションを取り、相手を信用させてから攻撃を仕掛けてくるため、不審な動きに気付くことが困難となってきている。

 こうした標的型攻撃メールでは、顧客や関係者からの正規の問い合わせなどと区別がつかない文面になっており、用いられるマルウェアも個別に作成されるため、従来のスパムフィルタやウイルス対策ソフトで検知することが難しいという課題がある。

 特に、顧客や関係者のふりをして一定の期間にわたってメールのやり取りを行って信用させた後に、マルウェアに感染させることを意図したメールを送付するといった“やり取り型”の攻撃には、対応が困難だった。また、標的型攻撃では組織内のほかの利用者に対しても繰り返して攻撃メールが送付されるため、組織としての継続的な対策が必要とされている。

 こうした課題に対し富士通と富士通研究所では今回、利用者の普段のメール送受信とその前後のウェブサイトへのアクセスなど一連の操作履歴を関連付けた上で学習し、それと異なる不審な動作として標的型メール攻撃をリアルタイムに検知する技術を業界で初めて開発。

 これにより、複数回のメールによるやり取り型の標的型メール攻撃に対しても、不審なメールのたびに過剰な検知をせず、危険度の高いメールのみを検知してアラートすることを可能にした。

 本技術を構成する技術は、以下の2つ。

メール受信を起点とする利用者の複数の操作履歴を関連づける技術

 利用者がメールを受信し、本文を閲覧、本文中のURLをクリックして、ブラウザでウェブページにアクセスするといった、メール受信を起点とする利用者の一連の操作履歴を関連づける技術を開発。

 これにより、利用者がやり取りするメールの相手ごとに、長期間にわたる一連のメールのやり取りと、それに関連するウェブアクセスなどの操作履歴を関連づけることで、例えば、あるウェブサイトからのダウンロードが特定の相手とのやり取りの中で行われたものかどうかを識別することができる。

組み合わせ判断によるリアルタイム異常検知技術

 やり取り型の標的型メール攻撃に対するリアルタイムな検知を実現するにあたり、長期間にわたる利用者のすべての操作履歴は膨大になるため、一連のメールに関連づけられた操作履歴だけを組み合わせて学習・比較することで異常検知する技術を開発。

 これにより異常検知に必要な情報量を10分の1以下に圧縮でき、通常数日に及ぶやり取り型の標的型メール攻撃に対しても、高速に検知処理できる。なお、同技術の機械学習には、富士通のAI技術「Human Centric AI Zinrai(ジンライ)」を活用している。

 これらの技術により、やり取り型の標的型メール攻撃に関連する一連の不審な動作の連なりを検知し、関連しない動作は除外するため、メールやウェブアクセスなど個々の異常を検知する従来技術に比べ、富士通の実験環境での評価では検知数を10分の1以下に抑えることができたとしている。

 さらに、本技術を富士通研究所の他の技術と組み合わせて応用することによって、セキュリティ管理者は攻撃対象となった人と業務上関連している人や組織に対して、リスクの高いメールやウェブ操作を一時的に制限するなど、標的型メール攻撃に対する事前対策が可能になる。

 また両社では、これまで開発してきたサイバー攻撃対策の2つの技術についても以下のような拡張を行っている。

 今回開発した技術と下記技術を組み合わせることで、標的型メール攻撃の初期攻撃での不審な動きを組織として素早く共有し、似たようなメールを受信している人に対して応急処置として、受信済みメールの開封制限や、ウェブへのアクセス制限、ネットワークの遮断・監視強化など、組織として先回りして防御するセキュリティ対策が可能になるとのこと。

行動特性分析技術

 サイバー攻撃に遭いやすい利用者を心理や行動特性で判定する技術について、新たにITリスクダッシュボードとしてわかりやすく図示できるようにした。個人や組織の潜在的な情報漏洩などの静的リスクに加え、標的型メール攻撃のような動的リスク、さらに似たようなメールを受信している人も表示することが可能となっている。

ネットワーク検知技術

 組織内ネットワークを監視し、マルウェアの社内潜伏活動を高速検知する技術について、新たに複数のネットワークセンサーを連携させ、組織ごとのリスク状態の高低などに応じ、監視精度やコストを調整できるようにした。


本技術を組み合わせた新たなサイバー攻撃対策(富士通提供)

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

この記事を読んだ方に

関連ホワイトペーパー

連載

CIO
デジタル“失敗学”
コンサルティング現場のカラクリ
Rethink Internet:インターネット再考
インシデントをもたらすヒューマンエラー
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
企業セキュリティの歩き方
サイバーセキュリティ未来考
ネットワークセキュリティの要諦
セキュリティの論点
スペシャル
ざっくりわかるSNSマーケティング入門
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell EMC World
AWS re:Invent
AWS Summit
PTC LiveWorx
吉田行男「より賢く活用するためのOSS最新動向」
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
日本株展望
企業決算
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]