標的型攻撃対策 富士通 富士通研究所

富士通ら2社、やり取り型の標的型メール攻撃を検知する技術を開発

 富士通と富士通研究所は1月21日、特定の組織などを攻撃対象とする標的型メール攻撃をリアルタイムに検知する技術を開発したと発表した。

 “やり取り型”の標的型メール攻撃において、普段と異なる不審な動作を素早く検知し、先回りして対策を可能にするという。両社では今後、検知可能となる標的型メール攻撃の範囲を広げ、検知精度をさらに向上させ、サイバー攻撃対策や情報漏洩対策として2016年度の実用化を目指す。

やり取り型の標的型メール攻撃の検知例(富士通提供)
やり取り型の標的型メール攻撃の検知例(富士通提供)

 近年では標的型メール攻撃が高度化しており、攻撃者は業務に関連した要件を装って巧みにコミュニケーションを取り、相手を信用させてから攻撃を仕掛けてくるため、不審な動きに気付くことが困難となってきている。

 こうした標的型攻撃メールでは、顧客や関係者からの正規の問い合わせなどと区別がつかない文面になっており、用いられるマルウェアも個別に作成されるため、従来のスパムフィルタやウイルス対策ソフトで検知することが難しいという課題がある。

 特に、顧客や関係者のふりをして一定の期間にわたってメールのやり取りを行って信用させた後に、マルウェアに感染させることを意図したメールを送付するといった“やり取り型”の攻撃には、対応が困難だった。また、標的型攻撃では組織内のほかの利用者に対しても繰り返して攻撃メールが送付されるため、組織としての継続的な対策が必要とされている。

 こうした課題に対し富士通と富士通研究所では今回、利用者の普段のメール送受信とその前後のウェブサイトへのアクセスなど一連の操作履歴を関連付けた上で学習し、それと異なる不審な動作として標的型メール攻撃をリアルタイムに検知する技術を業界で初めて開発。

 これにより、複数回のメールによるやり取り型の標的型メール攻撃に対しても、不審なメールのたびに過剰な検知をせず、危険度の高いメールのみを検知してアラートすることを可能にした。

 本技術を構成する技術は、以下の2つ。

メール受信を起点とする利用者の複数の操作履歴を関連づける技術

 利用者がメールを受信し、本文を閲覧、本文中のURLをクリックして、ブラウザでウェブページにアクセスするといった、メール受信を起点とする利用者の一連の操作履歴を関連づける技術を開発。

 これにより、利用者がやり取りするメールの相手ごとに、長期間にわたる一連のメールのやり取りと、それに関連するウェブアクセスなどの操作履歴を関連づけることで、例えば、あるウェブサイトからのダウンロードが特定の相手とのやり取りの中で行われたものかどうかを識別することができる。

組み合わせ判断によるリアルタイム異常検知技術

 やり取り型の標的型メール攻撃に対するリアルタイムな検知を実現するにあたり、長期間にわたる利用者のすべての操作履歴は膨大になるため、一連のメールに関連づけられた操作履歴だけを組み合わせて学習・比較することで異常検知する技術を開発。

 これにより異常検知に必要な情報量を10分の1以下に圧縮でき、通常数日に及ぶやり取り型の標的型メール攻撃に対しても、高速に検知処理できる。なお、同技術の機械学習には、富士通のAI技術「Human Centric AI Zinrai(ジンライ)」を活用している。

 これらの技術により、やり取り型の標的型メール攻撃に関連する一連の不審な動作の連なりを検知し、関連しない動作は除外するため、メールやウェブアクセスなど個々の異常を検知する従来技術に比べ、富士通の実験環境での評価では検知数を10分の1以下に抑えることができたとしている。

 さらに、本技術を富士通研究所の他の技術と組み合わせて応用することによって、セキュリティ管理者は攻撃対象となった人と業務上関連している人や組織に対して、リスクの高いメールやウェブ操作を一時的に制限するなど、標的型メール攻撃に対する事前対策が可能になる。

 また両社では、これまで開発してきたサイバー攻撃対策の2つの技術についても以下のような拡張を行っている。

 今回開発した技術と下記技術を組み合わせることで、標的型メール攻撃の初期攻撃での不審な動きを組織として素早く共有し、似たようなメールを受信している人に対して応急処置として、受信済みメールの開封制限や、ウェブへのアクセス制限、ネットワークの遮断・監視強化など、組織として先回りして防御するセキュリティ対策が可能になるとのこと。

残り本文:約318文字 ログインして続きを読んでください。

関連記事

一緒に見られている製品

編集部おすすめ

ピックアップ製品

サーバ
PC・モバイル
ストレージ
ネットワーク
仮想化
クラウドサービス
OS・ミドルウェア
開発
データベース
運用
セキュリティ
クライアントセキュリティ
サーバセキュリティ
ゲートウェイセキュリティ
メールセキュリティ
ウイルス対策
標的型攻撃対策
IDS/IPS
ファイアウォール
WAF
UTM
SIEM
フィルタリング
データ保護
アクセス管理
SSO
ワンタイムパスワード
IRM
情報漏えい対策
暗号化
脆弱性診断
その他セキュリティ
新興技術
財務・経理
人事・労務
マーケ・営業
購買・調達
生産・製造
データ分析
コミュニケーション
通信・通話
文書・コンテンツ
サイト構築
PCソフト
学習

ベンダー座談会

Follow TechRepublic Japan