PFU、攻撃者の行動から標的型サイバー攻撃を検知する新技術を開発

　株式会社PFUは28日、攻撃者の行動から標的型サイバー攻撃を検知する新たな技術「Malicious Intrusion Process Scan」を開発したと発表した。

　標的型サイバー攻撃は、侵入前に標的組織の情報を入手するなどの情報収集を行い、次に標的型メールからURLクリックでツールをダウンロードさせ、そのツールを制御し、最終的には情報を窃取するなどの組織内部侵入といったプロセスを踏む。

　PFUの研究チームは、組織内部侵入における攻撃者の行動プロセスに着目した「攻撃者行動遷移モデル」を構築、このモデルを利用し、標的型サイバー攻撃の検知を実現する新たな検知技術を開発した。

　開発した新技術は、エージェントレスで端末の通信を監視することにより攻撃者の行動をリアルタイムで把握。攻撃者は、標的となった端末に通信を行うことで攻撃行動を遂行するが、新技術ではエージェントレスで端末の通信を監視することにより、攻撃者に気付かれることなくリアルタイムに攻撃者の行動を把握する。

　また、攻撃行動の通信は、通常の業務通信を装っており、正しく検知できない場合がありるため、新技術では侵入直後からの攻撃行動の流れを「攻撃者行動遷移モデル」と照合することで、検知精度を高めた。

　新技術は、複数の組織の協力により、ゲートウェイやエンドポイントの一般的なセキュリティ対策が施された実際の業務環境（約10万端末）で、約2カ月間の実証実験を実施。その結果、324件の標的型サイバー攻撃を検知し、技術の効果を確認したという。

　PFUでは、今回発表の新技術について、幕張メッセで開催中（10月28日～30日）のイベント「情報セキュリティEXPO（秋）」で紹介を行う。