近年、高度化が進むサイバー攻撃は既存のセキュリティ対策を巧妙にすり抜けることが多いため、侵入を検知した際にはすでにサイバー攻撃の踏み台(※1)とされていることも少なくない。このため、内在する脅威を、いかに素早く捕捉できるかが重要である。
近年開発が進む、攻撃シナリオのモデル化やAI技術を活用した最新の検知技術は、長期にわたる通信ログを攻撃手口と関連付けて解析することで、脅威情報の見逃しを削減している。しかしながら、さまざまな形態で利用される高速大容量のネットワーク環境においては、解析処理に利用する内部データなどが膨大となり、これらの技術をそのまま適用することが困難である。
このような背景のもと、国立研究開発法人新エネルギー・産業技術総合開発機構(以下、NEDO)が管理法人を務める「戦略的イノベーション創造プログラム(SIP)/重要インフラ等におけるサイバーセキュリティの確保」において、富士通株式会社と大学共同利用機関法人 情報・システム研究機構 国立情報学研究所(以下、NII)は、ネットワーク上の大量のデータを収集・蓄積・解析することで不審な通信を抽出し、そのデータの特長をもとに、ネットワークの監視や調査などを行う対応者へ、適切な対処法を推奨する技術の開発を推進している。
今般、同事業において、富士通は通信の規則性と関係性に着目し、汎用サーバーにおいて高速大容量の通信データを対象とする解析を行い、ネットワーク上の大量データから正規の通信特性を逸脱する踏み台特有の通信を識別する技術を開発した。この技術を用いて、NIIが構築した20Gbps高速大容量のネットワークで収集・蓄積・解析を組み合わせた技術の有用性を検証する実証実験を行い、従来技術では検知できなかった不審な通信を検知することに成功した。
同実証実験にて有用性を検証した技術は、高速大容量の通信データを対象として通信の規則性や関係性に基づいた解析を行い、全体から乖離している通信挙動を特定することで、不審な通信を検知する技術を新たに富士通にて開発し、さらにネットワーク上の大量の通信データを収集・蓄積する技術などを組み合わせることで実現した。
同技術の詳しい内容と成果は以下の通り。
- 多種多様な大量の通信データを解析し、踏み台特有の通信を検知する技術を開発
- NIIの実証実験ネットワーク環境において従来検知が困難な踏み台特有の通信を検知
外部からのサイバー攻撃においては、機密情報の探索や侵入経路の拡大など遠隔操作の踏み台として、組織内ネットワークの機器が悪用されている。この踏み台となった機器は、正規業務の通信と攻撃操作の通信を同時に行っていることになる。
同技術の特徴は、踏み台と外部の攻撃サーバー間で定期的に発生する通信の周期性に着目し、攻撃サーバーによる通信の特徴を捉えることで、正規利用の通信特性から逸脱する通信を検知する。この技術では、通信の特徴を示す通信パターンを数値化し、富士通独自の数理モデルを用いて判別することで、汎用サーバーにおいても大量の通信データの解析を可能とした。
また、規則的な通信を行う正規業務の通信に対しては、通信データの送受信相手や他機器への通信状況を指標化することで踏み台特有の通信と区別し、作業の漏れや解析の誤りを抑止することが可能だ。
技術の有効性を確認するため、今回の開発技術と仮想ネットワークの通信性能を向上させる分析技術(※2)、およびネットワークの通信データを欠損なく収集・蓄積する技術(※3)を実装した汎用サーバーを、NIIの高速大容量のネットワーク環境に設置し、2018年10月から実証実験を実施した。
実証実験の結果、20Gbpsの大容量通信を行うネットワークにおいて、通信データを欠損することなく、踏み台特有の不審な通信を検知することに成功した。検知した通信は、正規業務の通信と同一の通信ポートを悪用したもので、大容量通信を行うネットワーク上では、従来のセキュリティ装置で検知されないものであった。
富士通は今後、解析結果に基づきネットワーク管理者向けに対処方法を推奨する技術の開発を進め、2020年度に、今回開発した技術と組み合わせたサービスの実用化を目指す。また、NIIは、同事業の成果を発展させ、サイバー攻撃発生時の被害状況を推定しその影響範囲を極小化する手法の実現を目指す。
※1 マルウェアに感染したサーバーなどの通信機器。
※2 仮想ネットワークの通信パケットを低負荷でキャプチャ―し、通信ボトルネックの分析、解消する推奨設定を提示する技術。
※3 仮想ネットワークの通信データを高速に欠損なく収集し、仮想・物理ネットワーク双方から収集した通信データをリアルタイムに蓄積する技術。
プレスリリース提供:富士通