このページの本文へ移動
  1. ホーム >
  2. プレスリリース >
  3. サイバー攻撃の全貌をひと目で把握する高速フォレンジック技術を開発

PRESS RELEASE (技術)

2016年5月13日
株式会社富士通研究所

サイバー攻撃の全貌をひと目で把握する高速フォレンジック技術を開発

専門家でなくても、迅速で包括的な対策のための被害分析を実現

このたび株式会社富士通研究所(注1)(以下、富士通研究所)は、特定の組織などを攻撃対象とする標的型サイバー攻撃について今回新たに、攻撃を見つけた後の被害の状況を迅速に分析する技術を開発しました。

組織内へ侵入して情報漏えいなどの多大な被害を及ぼすマルウェアの攻撃について、その状況を明らかにするために従来からネットワークや端末の各種ログの分析は行われていますが、被害の全貌を把握するには、専門家のノウハウによって長時間かけて分析する必要がありました。

今回、攻撃の状況分析に必要な情報収集部分を、ネットワーク通信の解析によって自動化・効率化することで、標的型サイバー攻撃の進行状況の全貌を短時間で分析し、ひと目で把握するフォレンジック技術を開発しました。

これにより、従来は専門家に依頼して長い時間が掛かっていたセキュリティ事故の分析が、専門家でなくても短時間で実現でき、被害が拡大する前に迅速で包括的な対策を講じることが可能となります。

本技術は、5月19日(木曜日)、20日(金曜日)の2日間、東京国際フォーラムにて開催される「富士通フォーラム2016」に出展します。

開発の背景

近年、特定組織や個人を標的として情報窃取を行うことを目的とした標的型サイバー攻撃が急増しており、その方法は、より巧妙になってきています。ひとたび組織内にマルウェアが侵入すると、外部の攻撃者によるマルウェアの遠隔操作により、重要な情報が外部へと流出し、攻撃対象の組織だけでなくお客様など取引先にも多大な損害を発生させます。

こうした組織内へのマルウェアの侵入を完全に防ぐことは困難であり、マルウェアの侵入を前提とした対策が必須となっています。

課題

現在、組織内へ侵入したマルウェアの攻撃の被害を明らかにするために、ネットワークやPC端末の各種ログを分析する方法がとられています。しかし、個々のログからは断片的な情報のみしか把握できず、被害の全貌を把握するには専門家によって長時間かけて分析する必要がありました。また、ネットワークの通信を常時そのまま蓄積しておき分析する方法もありますが、ネットワークを流れる通信は膨大であり、すべてを蓄積することにはコストがかかります。さらに、通信の分析においても、マルウェアの遠隔操作による攻撃の通信は、それだけでは正常通信か攻撃通信かを判定できない上に、メールやWeb閲覧などの通常の業務で行われる大量の通信の中に紛れており、攻撃に関係する通信のみを効率的に分析することは、困難でした。

開発した技術

このたび、攻撃の被害分析に必要な情報収集部分について、大量のネットワーク通信を自動的に解析することにより、標的型サイバー攻撃の進行状況の全貌を短時間で分析し、ひと目で把握する技術を開発しました。

開発した技術の特長は以下のとおりです。

  1. 証跡の収集技術

    ネットワーク中を流れる通信データを取得し、その通信データからPC端末で実行されたコマンド操作を推定することで、膨大な通信データを操作のレベルに抽象化して圧縮します。また、通信データから特定したユーザー情報とコマンド操作を効率的に紐づけることで、誰がどのような遠隔操作を行ったのかを特定し、コマンド操作についての証跡情報を収集します。これにより、ネットワークを流れる通信データを、約1万分の1に圧縮して蓄積することができます。

  2. 攻撃進行状況の抽出技術

    上記技術で収集した証跡情報を、標的型サイバー攻撃に特徴的な動作の定義をもとに、正常な業務による通信と攻撃の可能性の高い通信を識別して分析することで、攻撃の進行過程を短時間で抽出します。

本分析技術を搭載した分析システムを、大量に通信が行われている社内ネットワークに設置することで、例えば、1日分の通信の証跡ログのなかから、特定のPC端末での一連のコマンド操作を、数秒から数十秒で抽出することが可能です。このように、開発した分析システムでは、常時、証跡の収集・調査を実施することができるため、標的型サイバー攻撃を検知した際に、攻撃に関係したPC端末を芋づる式に抽出し、攻撃の進行状況についての俯瞰図を自動的に描画することで、攻撃の全貌をひと目で把握できます。

図1 開発した技術の概要
図1 開発した技術の概要
拡大イメージ

図2 標的型攻撃の進行状況の分析システムの画面
図2 標的型攻撃の進行状況の分析システムの画面
拡大イメージ

効果

今回開発した技術により、これまで専門家に依頼して長い時間が掛かっていたセキュリティ事故の分析が、専門家でなくても短時間で実現できます。その結果、標的型サイバー攻撃を受けた場合でも、被害が拡大する前に迅速で包括的な対策を講じることが可能となります。

今後

今後、運用性を向上させるなどさらなる機能向上を行い、2016年度中の実用化と、2016年度以降に富士通株式会社の提供するサービスへの実装をめざします。

商標について

記載されている製品名などの固有名詞は、各社の商標または登録商標です。

以上

注釈

注1 株式会社富士通研究所:
本社 神奈川県川崎市、代表取締役社長 佐々木繁。

本件に関するお問い合わせ

株式会社富士通研究所
知識情報処理研究所
電話 044-754-2681(直通)
メール fjsfpsy-ir@ml.labs.fujitsu.com


プレスリリースに記載された製品の価格、仕様、サービス内容、お問い合わせ先などは、発表日現在のものです。その後予告なしに変更されることがあります。あらかじめご了承ください。