このページの本文へ移動

富士通

サイト内検索
サイト内検索 閉じる

増え続ける「やり取り型の標的型メール攻撃」をリアルタイムに検知する技術

組織や企業の機密情報漏えいが深刻化

特定の組織や個人を狙ったメール攻撃による情報漏えい事件が頻発しています。ターゲットの組織に合わせて差出人や本文を偽装するため、担当者が正規の問い合わせと区別するのが難しいのが実情です。リスクの高いメールの開封を完全に防ぐことは不可能で、政府機関や自治体、企業が行った訓練でも約1割の人が添付ファイルを開封してしまったという報告が上がっています(注1)。中でも「やり取り型」と呼ばれる標的型メール攻撃による被害が深刻化しています。「やり取り型」の特長は、攻撃対象にいきなり不正プログラムを送付せず、通常の業務を装ってやりとりを数回行い、組織の担当者を信用させてからマルウェア(注2)などを添付したメールを送りつけることです。

さらに事態を深刻化させてしまう要因が、ネットワークに侵入した不正なプログラムの潜伏活動に利用者が気づきにくいという点です。マルウェアが標的型攻撃メールでイントラネットに侵入すると、感染したパソコンから不正アクセスを繰り返し、情報を外部のサーバへ送信しようとします。攻撃者が遠隔操作などで正規コマンドやツールを使用するため、ネットワーク管理者にとって、利用者の活動と見分けがつけにくいものになっています。このようなマルウェアの潜伏活動によって引き起こされる不審な動作をいかに素早く、効率的に検知するかが課題となっています。

(注1)内閣官房情報セキュリティセンター(NISC)資料 「平成23年度 標的型不審メール攻撃訓練結果の概要(中間報告)」より 
(注2)不正かつ有害な動作を行う意図で作成された悪意のあるソフトウェアや悪質なコードの総称

不審な動きをリアルタイムで検知

防御も検知も難しいこのメール攻撃に対し、富士通と富士通研究所が着目したのは、ウイルスの侵入を未然に防ぐことではなく、ウイルスの侵入を前提としたセキュリティ対策でした。メール攻撃の初期段階で、ネットワーク内で発生する不審な挙動をリアルタイムに検知し、さらに組織で情報を共有することで機密情報の不正送出を先回りして防御しようという考え方です。

この発想のもと、今回、メールの一連のやり取りの中で不審な動きだけをリアルタイムで検知する技術を業界で初めて開発しました。これは、利用者の普段のメールの送受信とその前後の複数の操作履歴とを関連付け、正常な動きを学習し、いつもと異なる不審な動きを標的型メール攻撃としてリアルタイムに検知するものです。

この検知技術は2種類の技術で構成されています。1つは「メール攻撃の時とそれ以外の時との一連の操作パターンを区別する技術」です。例えば利用者が①メールを受信、②本文を閲覧、③本文中のURLをクリックしてブラウザでWebページにアクセスする、といった一連の操作履歴を、メールの受信を起点にして関連づけます。やり取りする相手ごとに操作履歴を関連づけるため、あるサイトからのダウンロードが特定の相手とのやり取りの中で行われたものかどうかの識別が可能になります。

もう1つは「組み合せ判断によるリアルタイム異常検知技術」です。従来、リアルタイムでの検知を実現するためには、長時間に渡る利用者のすべての操作履歴の取得が必要ですが、データ量が膨大なため、瞬時にリスクを判断することは不可能でした。そこで、データの中から一連のメールに関する操作履歴のみを機械学習(注3)によって組み合わせ、普段の動きをコンパクトに学習し、その学習結果と現在の動きを比較することで異常を検知する技術を開発しました。これにより、検知に必要な情報量を10分の1程度に圧縮でき、数日に渡るやり取り型の標的型メール攻撃に対し、高速な検知処理を実現しました。この機械学習には、富士通のAI技術の集合体「Human Centric AI Zinrai(ジンライ)」を活用しています。

これら2種類の技術で、やり取り型標的型メール攻撃に関連する一連の不審な動作の連なりを検知し、それ以外の無関係な動作の除外が可能になりました。その結果、検知数も従来と比較して10分の1(当社比較)に抑制でき、やり取りの中でも危険なメールのみにアラートをあげることができるようになりました。

(注3)サンプルデータからコンピュータでルールやパターンなどを自動的に抽出する技術・手法のこと

従来は、赤丸の部分も攻撃メールとのやりとりと判断し、アラートを上げていたが、リアルタイム異常検知技術により、ダウンロードが要求された段階で、異常行動として検知。ダウンロード直前で動きを止めることも実現できる

標的型攻撃に対し先回りして組織で防御

以上の検知技術に加え、従来より開発してきたサイバー攻撃対策技術を拡張し組み合わせることで、組織として先回りして、内部情報の流出を防御することができるようになりました。
これまでにも富士通・富士通研究所は「行動特性分析技術」「マルウェアによる社内潜伏活動のネットワーク高速検知技術」という2つの技術開発を通じ、サイバー攻撃の解析や検知に取り組んできました。「行動特性分析技術」とは、どういう人が被害に遭いやすいか利用者の行動特性に着目して開発されたセキュリティの技術で、組織やユーザーにあわせたセキュリティ対策につなげるものです。また「マルウェアによる社内潜伏活動のネットワーク高速検知技術」は、マルウェア自体は検知できなくても潜伏活動を検知する技術です。この2つの技術を拡張し、前述の検知技術と組み合わせて、組織として機密情報の漏えいへの事前対策を実現します。

「行動特性分析技術」の拡張では、ITリスクダッシュボードとして個人や組織のリスク状態を可視化する機能を新たに提供。また「マルウェアの社内潜伏活動を高速検知するネットワーク検知技術」では、新たに複数のネットワークセンサーを連携しました。その結果、例えば初期攻撃の段階で人や組織のリスク状態に応じて監視レベルを調整したり、他に似たようなメールを受信した人に画面上で注意を呼びかける文面を表示したりします。また、一時的にWebアクセスを制限したり、ネットワークを遮断したりなど、組織の内部情報の不正送信の防止に向け、組織として事前対策が可能となりました。

本技術を組み合わせた新たなサイバー攻撃対策

実用化に向けて

ネットワーク内で発生する普段と異なる不審な動きをリアルタイムに検知し、内部情報の流出を事前に組織で食い止める。今回ご紹介した新しい技術は、日々巧妙化する標的型攻撃メールの脅威から組織の機密情報を守るものとして期待が高まります。今後、富士通と富士通研究所は、検知可能となる標的型メール攻撃の範囲を増やし、検知精度をさらに向上させ、2016年度の実用化を目指します。

危険度の高い標的型メールを検知。業務上関係している人や組織に対し、リスクに合わせてポリシー強化。先回り防御して、Webアクセスを制御した状態をダッシュボードで確認できる

FUJITSU JOURNAL - に関するお問い合わせ

アンケートにご協力ください

FUJITSU JOURNALをご覧いただき、ありがとうございます。読者のみなさまの貴重なご意見を今後のWEBサイト改善に役立てたいと考えていますので、アンケートへのご協力をお願いいたします。

アンケートに答える»

アンケートにご協力ください

FUJITSU JOURNALをご覧いただき、ありがとうございます。読者のみなさまの貴重なご意見を今後のWEBサイト改善に役立てたいと考えていますので、アンケートへのご協力をお願いいたします。

アンケートに答える»

ページの先頭へ