このページの本文へ移動
  1. ホーム >
  2. プレスリリース >
  3. やり取り型の標的型メール攻撃をリアルタイムに検知する技術を開発

PRESS RELEASE (技術)

2016年1月21日
富士通株式会社
株式会社富士通研究所

やり取り型の標的型メール攻撃をリアルタイムに検知する技術を開発

普段と異なる不審な動作を素早く検知し、先回りして対策を可能に

富士通株式会社(以下、富士通)と株式会社富士通研究所(注1)(以下、富士通研究所)は、特定の組織などを攻撃対象とする標的型メール攻撃をリアルタイムに検知する技術を開発しました。

近年、標的型メール攻撃が高度化し、攻撃者は、業務に関連した要件を装って巧みにコミュニケーションを取り、相手を信用させてから攻撃を仕掛けてくるため、不審な動きに気付くことは困難です。

今回、利用者の普段のメール送受信とその前後のWebサイトへのアクセスなど一連の操作履歴を関連付けた上で学習し、それと異なる不審な動作として標的型メール攻撃をリアルタイムに検知する技術を開発しました。これにより、複数回のメールによるやり取り型の標的型メール攻撃に対しても、不審なメールのたびに過剰な検知をせず、危険度の高いメールのみを検知してアラートすることが可能となりました。

さらに、本技術を富士通研究所の他の技術と組み合わせて応用することによって、セキュリティ管理者は攻撃対象となった人と業務上関連している人や組織に対して、リスクの高いメールやWeb操作を一時的に制限するなど、標的型メール攻撃に対する事前対策が可能になります。

本技術の一部は、総務省の委託研究「サイバー攻撃の解析・検知に関する研究開発」によるものです。

開発の背景

近年、特定の組織などを攻撃対象とする標的型攻撃はますます高度化しています。攻撃者は標的とする組織の顧客のふりをして繰り返しメールを送付したり、組織内の利用者が頻繁にアクセスするWebサイトに罠を仕掛けるなど、利用者の心理の隙を突き、組織に合わせた特別なマルウェアの感染を試みます。また、標的型攻撃では、組織内のほかの利用者に対しても繰り返して攻撃メールが送付されるため、組織としての継続的な対策が必要とされています。

課題

標的型攻撃メールは、顧客や関係者からの正規の問い合わせなどと区別がつかない文面になっており、用いられるマルウェアも個別に作成されるため、従来のスパムフィルターやウイルス対策ソフトで検知することは困難です。

特に、顧客や関係者のふりをして一定の期間にわたってメールのやり取りを行って信用させた後に、マルウェアに感染させることを意図したメールを送付するといった、やり取り型の攻撃には、対応が困難でした。

開発した技術

今回、利用者の普段のメール送受信とその前後のWebサイトへのアクセスなど一連の操作履歴を関連付けた上で学習し、それと異なる不審な動作をやり取り型の標的型メール攻撃としてリアルタイムに検知する技術を、業界で初めて開発しました。本技術は、以下の二つの技術から構成されています。

  1. メール受信を起点とする利用者の複数の操作履歴を関連づける技術

    利用者がメールを受信し、本文を閲覧、本文中のURLをクリックして、ブラウザでWebページにアクセスするといった、メール受信を起点とする利用者の一連の操作履歴を関連づける技術を開発しました。これにより、利用者がやり取りするメールの相手ごとに、長期間にわたる一連のメールのやり取りとそれに関連するWebアクセスなどの操作履歴を関連づけることで、例えば、あるWebサイトからのダウンロードが特定の相手とのやり取りの中で行われたものかどうかを識別できます。

  2. 組合せ判断によるリアルタイム異常検知技術

    やり取り型の標的型メール攻撃に対するリアルタイムな検知を実現するにあたり、長期間にわたる利用者のすべての操作履歴は膨大になるため、一連のメールに関連づけられた操作履歴だけを組み合わせて学習・比較することで異常検知する技術を開発しました。これにより異常検知に必要な情報量を10分の1以下にコンパクト化でき、通常数日におよぶやり取り型の標的型メール攻撃に対しても、高速な検知処理を行うことができます。

    なお、本技術の機械学習には、富士通のAI技術「Human Centric AI Zinrai(ジンライ)」を活用しています。

これらの技術により、やり取り型の標的型メール攻撃に関連する一連の不審な動作の連なりを検知し、関連しない動作は除外するため、メールやWebアクセスなどの個々の異常を検知する従来技術に比べ、当社の実験環境での評価では、検知数を10分の1以下に抑えることができました(図1)。

図1 やり取り型の標的型メール攻撃の検知例
図1 やり取り型の標的型メール攻撃の検知例

効果

今回開発した技術を用いることで、特定の相手との一連のメールのやり取りと関連する操作履歴から、やり取り型の標的型メール攻撃を効率的に検知することができるようになりました。

これに加えて、これまで開発してきた、サイバー攻撃対策の2つの技術についても拡張を行い、今回開発した技術と組み合わせてセキュリティを高めることが可能となります。

  1. 行動特性分析技術(注2):サイバー攻撃に遭いやすい利用者を心理や行動特性で判定する技術について、新たにITリスクダッシュボードとしてわかりやすく図示することを可能としました。個人や組織の潜在的な情報漏洩などの静的リスクに加え、標的型メール攻撃のような動的リスク、さらに似たようなメールを受信している人も表示することができるようにしました。
  2. ネットワーク検知技術(注3):組織内ネットワークを監視し、マルウェアの社内潜伏活動を高速検知する技術について、新たに複数のネットワークセンサーを連携させ、組織ごとのリスク状態の高低などに応じ、監視精度・コストを調整できるようにしました。

今回開発した技術とこれらを組み合わせることで、標的型メール攻撃の初期攻撃での不審な動きを組織として素早く共有し、似たようなメールを受信している人に対して応急処置として、受信済みメールの開封制限や、Webへのアクセス制限、ネットワークの遮断・監視強化など、組織として先回りして防御するセキュリティ対策が可能になります。

図2 本技術を組み合わせた新たなサイバー攻撃対策
図2 本技術を組み合わせた新たなサイバー攻撃対策

今後

検知可能となる標的型メール攻撃の範囲を広げ、検知精度をさらに向上させ、サイバー攻撃対策や情報漏洩対策として、2016年度の実用化を目指します。

商標について

記載されている製品名などの固有名詞は、各社の商標または登録商標です。

以上

注釈

注1 株式会社富士通研究所:
本社 神奈川県川崎市、代表取締役社長 佐相秀幸。
注2 行動特性分析技術:
業界初!サイバー攻撃に遭いやすいユーザーを心理・行動特性で判定する技術を開発」(2015年1月19日 プレスリリース)
注3 ネットワーク検知技術:
マルウェアによる社内潜伏活動の高速検知技術を開発」(2014年4月15日 プレスリリース)

本件に関するお問い合わせ

株式会社富士通研究所
知識情報処理研究所
電話 044-754-2681(直通)
メール fomc-query@ml.labs.fujitsu.com


プレスリリースに記載された製品の価格、仕様、サービス内容、お問い合わせ先などは、発表日現在のものです。その後予告なしに変更されることがあります。あらかじめご了承ください。