富士通と富士通研究所、「やり取り型」の標的型メール攻撃をリアルタイムに検知する技術を開発

　富士通株式会社と株式会社富士通研究所は21日、特定の組織などを攻撃対象とする標的型メール攻撃をリアルタイムに検知する技術を開発したと発表した。

　開発した技術は、利用者の普段のメール送受信とその前後のウェブサイトへのアクセスなど、一連の操作履歴を関連付けた上で学習し、それと異なる不審な動作として標的型メール攻撃をリアルタイムに検知するもの。顧客や関係者のふりをして、一定の期間にわたってメールのやり取りを行って信用させた後に、マルウェアに感染させることを意図したメールを送付するといった「やり取り型」の攻撃に対しても、不審なメールのたびに過剰な検知をせず、危険度の高いメールのみを検知してアラートすることが可能となった。

やり取り型の標的型メール攻撃の検知例

　利用者がメールを受信し、本文を閲覧、本文中のURLをクリックしてブラウザーでウェブページにアクセスするといった、メール受信を起点とする利用者の一連の操作履歴を関連付ける。利用者がやり取りするメールの相手ごとに、長期間にわたる一連のメールのやり取りとそれに関連するウェブアクセスなどの操作履歴を関連付けることで、あるウェブサイトからのダウンロードが特定の相手とのやり取りの中で行われたものかどうかを識別できる。

　また、こうした長期間にわたる利用者のすべての操作履歴は膨大になるため、一連のメールに関連付けられた操作履歴だけを組み合わせて学習・比較することで異常検知する技術を開発。これにより、異常検知に必要な情報量を10分の1以下にでき、通常数日におよぶやり取り型の標的型メール攻撃に対しても、高速な検知処理を行うことができるという。

　技術の機械学習には、富士通のAI技術「Human Centric AI Zinrai」を活用。これらの技術により、やり取り型の標的型メール攻撃に関連する一連の不審な動作の連なりを検知し、関連しない動作は除外するため、メールやウェブアクセスなど個々の異常を検知する従来技術に比べ、実験環境での評価では検知数を10分の1以下に抑えることができたとしている。

　さらに、これまで開発してきたサイバー攻撃対策技術のうち、サイバー攻撃に遭いやすい利用者を心理や行動特性で判定する「行動特性分析技術」については、新たに「ITリスクダッシュボード」として分かりやすく図示する機能を追加。組織内ネットワークを監視してマルウェアの社内潜伏活動を高速検知する「ネットワーク検知技術」については、新たに複数のネットワークセンサーを連携させ、組織ごとのリスク状態の高低などに応じて、監視精度・コストを調整できるようにした。

　富士通と富士通研究所では、今回開発した技術とこれらの技術を組み合わせることで、標的型メール攻撃の初期攻撃での不審な動きを組織として素早く共有し、似たようなメールを受信している人に対して応急処置として、受信済みメールの開封制限や、ウェブへのアクセス制限、ネットワークの遮断・監視強化など、組織として先回りして防御するセキュリティ対策が可能になると説明。今後は検知可能となる標的型メール攻撃の範囲を広げ、検知精度をさらに向上させ、サイバー攻撃対策や情報漏洩対策として、2016年度の実用化を目指すとしている。

技術を組み合わせた新たなサイバー攻撃対策