ページの本文へ

Hitachi

社会イノベーション

標的型サイバー攻撃に侵入された端末と
拡散活動を検出する技術を開発

日立は、標的型サイバー攻撃*1の拡散活動を検出する技術を開発しました。攻撃者に侵入された可能性がある端末を検知し、他のパソコンやサーバーへと侵入していく過程の端末間の関係を可視化することで、標的型攻撃を検出します。アンチウィルスソフトウェアなどの従来の対策を補完し、個々の端末を個別に分析するだけでは難しかった、ステルス型マルウェア*2などによる攻撃の早期検出を可能にします。

攻撃の内容や経路を明らかにして対策の立案に貢献

近年、情報漏えいやシステム破壊を目的として官公庁や企業、社会インフラのネットワークに侵入する標的型サイバー攻撃が増加し、その攻撃方法はますます巧妙化しています。ステルス型マルウェアやゼロデイ脆弱性*3に加えて、OS標準搭載のコマンドや攻撃用途ではないフリーウェアが悪用されるこうした攻撃の場合、個々の端末では明確に悪意があると判断できる動作を行わないため、従来からの対策技術では検知が困難になってきています。そこで日立は、複数の端末の動作を関連付けた統合的な分析が必要と考え、攻撃者が別の端末に侵入していく過程で不審動作を行う端末が次々と発生する点に着目しました。まず、機械学習とセンサーを活用して攻撃者に侵入された可能性がある不審端末を検知し、次に不審端末間のアクセスタイミングを分析してその関係を可視化することによって拡散活動を検出する技術を開発しました。各端末の不審動作や端末間の関係を元に、受けた攻撃の内容や経路を分析できるため、標的型攻撃の全容解明や対策立案への貢献が期待されています。

*1
標的型サイバー攻撃:官公庁や企業、社会インフラなどの特定組織のネットワークを執拗(しつよう)に狙い、情報漏えいや情報システムの破壊を行う攻撃。通常、マルウェア付きメールなどで特定の端末にコンピュータウィルスを感染させたのち、他の端末へも侵入を広げて被害を拡大させていく
*2
ステルス型マルウェア:端末内で明確に悪意がある動作をほとんど行わず、アンチウィルスソフトウェアによる検知が難しいマルウェア
*3
ゼロデイ脆弱性:ウィルス対策ベンダーなどのセキュリティ組織に知られていないプログラムの欠陥・不具合

公開日:2015年10月13日