日立は、標的型サイバー攻撃*1の拡散活動を検出する技術を開発しました。攻撃者に侵入された可能性がある端末を検知し、他のパソコンやサーバーへと侵入していく過程の端末間の関係を可視化することで、標的型攻撃を検出します。アンチウィルスソフトウェアなどの従来の対策を補完し、個々の端末を個別に分析するだけでは難しかった、ステルス型マルウェア*2などによる攻撃の早期検出を可能にします。
近年、情報漏えいやシステム破壊を目的として官公庁や企業、社会インフラのネットワークに侵入する標的型サイバー攻撃が増加し、その攻撃方法はますます巧妙化しています。ステルス型マルウェアやゼロデイ脆弱性*3に加えて、OS標準搭載のコマンドや攻撃用途ではないフリーウェアが悪用されるこうした攻撃の場合、個々の端末では明確に悪意があると判断できる動作を行わないため、従来からの対策技術では検知が困難になってきています。そこで日立は、複数の端末の動作を関連付けた統合的な分析が必要と考え、攻撃者が別の端末に侵入していく過程で不審動作を行う端末が次々と発生する点に着目しました。まず、機械学習とセンサーを活用して攻撃者に侵入された可能性がある不審端末を検知し、次に不審端末間のアクセスタイミングを分析してその関係を可視化することによって拡散活動を検出する技術を開発しました。各端末の不審動作や端末間の関係を元に、受けた攻撃の内容や経路を分析できるため、標的型攻撃の全容解明や対策立案への貢献が期待されています。
公開日:2015年10月13日