ページの本文へ

Hitachi

企業情報研究開発

2015年12月10日

発表者からのレポート

2015年11月2日から4日までの3日間、京都府京都市で国際会議RAID2015 (The 18th International Symposium on Research in Attacks, Intrusions and Defenses) が開催されました。RAID2015は、マルウェア対策や標的型サイバー攻撃などサイバーセキュリティに関する代表的な国際会議の1つです。筆者は、本会議のポスターセッションにて、"On the Detection of Targeted Attacks by Constructing Lateral Movement Graphs" と題し、標的型攻撃の拡散活動を検知する技術について発表を行いました(図1)

近年、情報漏えいなどを目的とした、標的型攻撃が増加しています。攻撃方法はますます巧妙化しており、例えば、ステルス型マルウェア*1、OS標準搭載のコマンドなどが用いられます。このような攻撃は、個々の端末では明確に悪意があると判断できる動作を行いません。このため、一般的なアンチウイルスや既知の攻撃の特徴を元に個々の端末を分析する技術などでは検知が困難になりつつあります。そこで、このような巧妙な標的型攻撃を検知する新規技術が求められていました。


図1 提案技術のポスタースライド
拡大図

筆者は、巧妙な標的型攻撃を検知するには、個々の端末単位ではなく複数の端末の動作を関連付けた統合的な分析が必要と考えました。そこで、ネットワークに侵入した攻撃者が、目的達成のために別の端末に侵入していく拡散活動を行う過程で、通常見られない不審動作を行う端末が次々と発生する点に着目しました。そして、(1) 拡散活動に関わった可能性がある不審端末を検出し、(2) 端末間の因果関係を可視化し、拡散活動を検出する技術を開発しました。

(1)の技術は、端末の通常動作の特徴を機械学習によりモデル化し、モデルから外れる動作(例えば、通常利用しないOS標準搭載コマンドの起動)を不審動作として特定します。そして、不審動作の発生頻度を元に、不審端末を検出します。

(2)の技術は、(1)の技術が検出した不審端末が、過去数時間内に他の不審端末からアクセスされた履歴があるかどうかを元に、端末間の因果関係を、攻撃経路を示すグラフとして可視化します。グラフのサイズが一定以上になると、拡散活動が行われていると判断します。

本技術により、個々の端末を個別に分析するだけでは検知が難しかったステルス型マルウェアなどによる標的型攻撃の早期検知が可能になります。

開発技術の性能を測定するため、代表的な標的型攻撃を模擬した攻撃シナリオを策定し、実証実験を実施しました。その結果、一般的に想定される標的型攻撃の検知率97%を達成し、誤検知が発生する頻度を従来の標的型攻撃対策*2の10分の1に削減したことを確認しました。

標的型攻撃対策技術の重要性は、情報系ネットワークに留まらず、製造プラントの制御ネットワークやIoTなどにも拡大しています。本技術を社会インフラシステムに活用し、安全・安心な社会の実現をめざします。

*1
端末内で明確に悪意がある動作をほとんど行わず、アンチウイルスソフトウェアによる検知が難しいマルウェア
*2
事前に許可されたもの以外のプログラムが起動すると、標的型攻撃が発生したと判断する技術

(川口 信隆    記)

参考文献

  • Nobutaka Kawaguchi, Mamoru Tsuichihara, Yoshinobu Tanigawa, Kota Ideguchi, Hideyuki Tomimura, "On the Detection of Targeted Attacks by Constructing Lateral Movement Graphs", presented at the poster session of RAID2015, 2015.
  • ページの先頭へ