近年、情報漏えいやシステム破壊を目的とした、官公庁や企業、社会インフラに対する標的型攻撃が増加している。警察庁の調べでは2014の発生件数は前年比3.5倍の1,723件に上っているという。これに加え、攻撃方法はますます巧妙化している。
このような巧妙な攻撃は、個々の端末では明確に悪意があると判断できる動作を行わない。このため、ウイルス定義を用いた一般的なアンチウイルスソフトウェアや既知の攻撃に共通する特徴を元に個々の端末を分析して検知する技術など、従来存在していた対策では検知が困難になってきている。
このような背景のもと日立製作所<6501>は、標的型サイバー攻撃の拡散活動を検出する技術を開発した。標的型攻撃で社内ネットワークに侵入した攻撃者は、情報漏えいやシステム破壊などを目的として、パソコンやサーバーなどの端末に次々と侵入する拡散活動を行う。この技術は、攻撃者に侵入された可能性がある端末を検出し、別の端末に侵入していく過程の端末間の関係を可視化することで、標的型攻撃を検知する。アンチウイルスソフトウェアなど従来の対策を補完し、個々の端末を個別に分析するだけでは検知が難しいステルス型マルウェアなどによる標的型攻撃の早期検知が期待されるという。
今回開発した技術の特徴は、まず、攻撃者が侵入先の端末で行う活動の目的は情報漏えいやシステム破壊であり、ドキュメント作成やWeb閲覧、サービス提供といったパソコンやサーバーの本来の利用目的と異なる。このため、攻撃者が端末に侵入すると、普段利用されないプログラムが起動するなど、通常見られない動作が頻繁に発生する。そこで、端末の通常動作の特徴を機械学習によりモデル化し、普段利用されないプログラムの起動や普段アクセスしない端末への通信などを不審動作として特定する、6種類のセンサーを開発した。このセンサー群が観測した不審動作の発生頻度を元に、社内ネットワークに設置した分析サーバーが不審端末を検出する。
また、攻撃者は、脆弱性攻撃や遠隔ログインなどの不正アクセスにより、侵入した端末からさらに別の端末に侵入する。日立は、前述した技術により不審端末と判定された端末が、過去数時間内に他の不審端末からアクセスされた履歴があるかどうかを元に、端末間の関係を、攻撃経路を示すグラフとして可視化する技術を開発した。関係がある端末群の数が一定以上になると、拡散活動が行われていると判断する。この技術は、端末の不審動作や関係を元に各端末が受けた攻撃内容や攻撃経路を分析できるため、攻撃の全容解明や対策立案などにも役立てることができるという。
今回開発した技術の性能を測定するため、過去に発生した攻撃事例やセキュリティベンダの報告、学術論文などを元に代表的な標的型攻撃を模擬した攻撃シナリオを策定し、実証実験を社内で実施した。その結果、一般的に想定される標的型攻撃の検知率97%を達成し、誤検知が発生する頻度を従来のホワイトリスト型対策の10分の1に削減したことを確認したという。(編集担当:慶尾六郎)