富士通ら2社、やり取り型の標的型メール攻撃を検知する技術を開発

NO BUDGET

2016-01-25 10:53

 富士通と富士通研究所は1月21日、特定の組織などを攻撃対象とする標的型メール攻撃をリアルタイムに検知する技術を開発したと発表した。

 “やり取り型”の標的型メール攻撃において、普段と異なる不審な動作を素早く検知し、先回りして対策を可能にするという。両社では今後、検知可能となる標的型メール攻撃の範囲を広げ、検知精度をさらに向上させ、サイバー攻撃対策や情報漏洩対策として2016年度の実用化を目指す。

やり取り型の標的型メール攻撃の検知例(富士通提供)
やり取り型の標的型メール攻撃の検知例(富士通提供)

 近年では標的型メール攻撃が高度化しており、攻撃者は業務に関連した要件を装って巧みにコミュニケーションを取り、相手を信用させてから攻撃を仕掛けてくるため、不審な動きに気付くことが困難となってきている。

 こうした標的型攻撃メールでは、顧客や関係者からの正規の問い合わせなどと区別がつかない文面になっており、用いられるマルウェアも個別に作成されるため、従来のスパムフィルタやウイルス対策ソフトで検知することが難しいという課題がある。

 特に、顧客や関係者のふりをして一定の期間にわたってメールのやり取りを行って信用させた後に、マルウェアに感染させることを意図したメールを送付するといった“やり取り型”の攻撃には、対応が困難だった。また、標的型攻撃では組織内のほかの利用者に対しても繰り返して攻撃メールが送付されるため、組織としての継続的な対策が必要とされている。

 こうした課題に対し富士通と富士通研究所では今回、利用者の普段のメール送受信とその前後のウェブサイトへのアクセスなど一連の操作履歴を関連付けた上で学習し、それと異なる不審な動作として標的型メール攻撃をリアルタイムに検知する技術を業界で初めて開発。

 これにより、複数回のメールによるやり取り型の標的型メール攻撃に対しても、不審なメールのたびに過剰な検知をせず、危険度の高いメールのみを検知してアラートすることを可能にした。

 本技術を構成する技術は、以下の2つ。

メール受信を起点とする利用者の複数の操作履歴を関連づける技術

 利用者がメールを受信し、本文を閲覧、本文中のURLをクリックして、ブラウザでウェブページにアクセスするといった、メール受信を起点とする利用者の一連の操作履歴を関連づける技術を開発。

 これにより、利用者がやり取りするメールの相手ごとに、長期間にわたる一連のメールのやり取りと、それに関連するウェブアクセスなどの操作履歴を関連づけることで、例えば、あるウェブサイトからのダウンロードが特定の相手とのやり取りの中で行われたものかどうかを識別することができる。

組み合わせ判断によるリアルタイム異常検知技術

 やり取り型の標的型メール攻撃に対するリアルタイムな検知を実現するにあたり、長期間にわたる利用者のすべての操作履歴は膨大になるため、一連のメールに関連づけられた操作履歴だけを組み合わせて学習・比較することで異常検知する技術を開発。

 これにより異常検知に必要な情報量を10分の1以下に圧縮でき、通常数日に及ぶやり取り型の標的型メール攻撃に対しても、高速に検知処理できる。なお、同技術の機械学習には、富士通のAI技術「Human Centric AI Zinrai(ジンライ)」を活用している。

 これらの技術により、やり取り型の標的型メール攻撃に関連する一連の不審な動作の連なりを検知し、関連しない動作は除外するため、メールやウェブアクセスなど個々の異常を検知する従来技術に比べ、富士通の実験環境での評価では検知数を10分の1以下に抑えることができたとしている。

 さらに、本技術を富士通研究所の他の技術と組み合わせて応用することによって、セキュリティ管理者は攻撃対象となった人と業務上関連している人や組織に対して、リスクの高いメールやウェブ操作を一時的に制限するなど、標的型メール攻撃に対する事前対策が可能になる。

 また両社では、これまで開発してきたサイバー攻撃対策の2つの技術についても以下のような拡張を行っている。

 今回開発した技術と下記技術を組み合わせることで、標的型メール攻撃の初期攻撃での不審な動きを組織として素早く共有し、似たようなメールを受信している人に対して応急処置として、受信済みメールの開封制限や、ウェブへのアクセス制限、ネットワークの遮断・監視強化など、組織として先回りして防御するセキュリティ対策が可能になるとのこと。

行動特性分析技術

 サイバー攻撃に遭いやすい利用者を心理や行動特性で判定する技術について、新たにITリスクダッシュボードとしてわかりやすく図示できるようにした。個人や組織の潜在的な情報漏洩などの静的リスクに加え、標的型メール攻撃のような動的リスク、さらに似たようなメールを受信している人も表示することが可能となっている。

ネットワーク検知技術

 組織内ネットワークを監視し、マルウェアの社内潜伏活動を高速検知する技術について、新たに複数のネットワークセンサーを連携させ、組織ごとのリスク状態の高低などに応じ、監視精度やコストを調整できるようにした。


本技術を組み合わせた新たなサイバー攻撃対策(富士通提供)

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]