編集部からのお知らせ
オススメ記事選集PDF:MAツールのいま
「これからの企業IT」の記事はこちら

標的型攻撃の予兆検知に道筋--慶大、中部電力、日立が実証

ZDNet Japan Staff

2019-06-18 17:34

 慶応大学と中部電力、日立製作所は6月18日、複数のダークネット通信の観測から相関性を調べて標的型攻撃の予兆を検知する技術の開発において一定の成果を得たと発表した。今後は検知技術の開発を進め、実用化につなげるとしている。

 この取り組みでは、2018年に慶大と日立が開発した「分散型セキュリティオペレーション」を用い、慶大と中電が観測しているそれぞれのダークネット通信のログから、通信元のIPアドレスや通信が接続を試みる宛先のポート番号などを頼りに相関性を分析する。これにより、脆弱性を抱えるシステムを探索するなどの不審な通信を割り出し、より詳細な分析を通じて大量の通信に潜む少数の標的型攻撃の予兆を見つけ出す。

 ダークネット通信は未使用のIPアドレスに対する通信で、IPアドレスが割り当てられているシステムへの通信を基本的に通常のものとした場合、ダークネット通信は何かしらの不審な目的が含まれるものと仮定されるため、以前からサイバー攻撃研究でダークネット通信の観測が行われてきた。

 日立製作所 研究開発グループ システムイノベーションセンタ セキュリティ研究部 ユニットリーダ主任研究員の重本倫宏氏によると、従来のダークネット通信の観測では、例えば、脆弱なIoT機器へのマルウェア感染を狙うような攻撃で突発的な通信量の増大などが起きるため、主に大規模攻撃の予兆検知に有効だった。今回の取り組みでは、逆に複数の観測データからごく少数の標的型攻撃の通信を見つけ出すことに主眼を置いているという。

 研究では、2018年7~8月における慶大と中電が観測した生のログデータを突き合わせ、1日当たり約2000万件の通信の中から上述の観点で標的型攻撃の予兆と認められる通信の検知に成功したという。一般的に企業などのIT環境における通信記録は秘匿扱いされることから、今回は各組織で情報を共有する体制を整えた。分散型セキュリティオペレーションは、情報の共有と複数の組織で分担して分析を行うプラットフォームに当たり、参加組織同士でのやりとりでは慶大が開発した「動的認証認可」技術を活用して信頼性や安全性を確保する。

 今回の取り組みで検知技術の道筋が開けたことで、今後は技術の実用化や精度の向上が焦点になる。3組織では、連携に参加する組織の広がりや情報共有、分担による分析などの方法などについて、さらに研究開発や検討を進めていくとしている。

ダークネット通信分析によるサイバー攻撃の予兆検知イメージ(出典:日立製作所)
ダークネット通信分析によるサイバー攻撃の予兆検知イメージ(出典:日立製作所)

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

ホワイトペーパー

新着

ランキング

  1. クラウドコンピューティング

    AWSが提唱する、モダン分析プラットフォームのアーキテクチャと構築手法

  2. クラウドコンピューティング

    AWS資料、ジョブに特化した目的別データベースを選定するためのガイド

  3. セキュリティ

    Zero Trust Workbook--ゼロ トラストの先にある世界を知るためのガイダンス

  4. セキュリティ

    「ゼロトラスト」時代のネットワークセキュリティの思わぬ落とし穴に注意せよ

  5. クラウドコンピューティング

    データ駆動型の組織でビジネスの俊敏性を実現するには?戦略的な意思決定とイノベーションを両立へ

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]