PR

 膨大な攻撃情報を機械学習で分析し、攻撃者の“次の一手”を予測、検知、遮断する――。攻撃者の先制攻撃に待ったをかける次世代型のサイバーセキュリティ対策サービス/製品が続々と登場している。攻撃者のネットワークに対抗すべく、ベンダー同士で膨大な攻撃情報を持ち合う動きも出てきている。

リアルタイムで指令サーバーへの接続を遮断

 サイバー攻撃により組織に侵入したマルウエア(悪意のあるソフトウエア)はまず攻撃者が操るC&C(指令)サーバーへの接続を試みる。接続できれば攻撃者はC&Cサーバーを通してマルウエアを操り、企業や団体から情報を盗み出すといった悪事を働く。専門家は「昨今、日本を組織的に狙う攻撃者は、侵入後30分を待たずにマルウエアを操れるほどメンバーを増やしている」と話す。新種のマルウエアが増え続け、もはや侵入を100%防ぐことができない中、C&Cサーバーへの接続を遮断することが欠かせなくなってきている。

 これに対してIT企業やセキュリティ企業はC&CサーバーのURLを収集し、ブラックリストとして持ちまわしている。だがマルウエアは古くから「DGA(Domain Generating Algorithm)」と呼ばれるアルゴリズムを使って、接続先URLを自走生成する機能を持っている。例えば「xutupxaqeanu.com」といったように動的生成されたURLに対して、既存のブラックリストでのフィルタリングは有効とは言えない。さらに攻撃者は1日足らずでC&CサーバーのURLを破棄するケースも増えてきているという。

 こうした現状に対し、NTTコミュニケーションズは機械学習で対抗する。同社は顧客のセキュリティ状態を監視するマネージド・セキュリティ・サービス(MSS)である「WideAngle」をグローバルで提供するが、その分析基盤である「SIEM(Security Information Event Management:シーム)」に機械学習の機能を9月末から投入したと2015年10月7日に公表した。マルウエアがDGAで動的に接続先を生成しても、99.5%の確率で遮断できるという(図1)。既存利用者は追加費用無しで恩恵を受けられる。

図1●機械学習の技術を使ってマルウエアからC&Cサーバーへの通信を遮断する概要図(出所:NTTコミュニケーションズの資料)
図1●機械学習の技術を使ってマルウエアからC&Cサーバーへの通信を遮断する概要図(出所:NTTコミュニケーションズの資料)
[画像のクリックで拡大表示]

 NTTコムは何百万個というブラックリストを持っているという。これらを読み込んで機械学習で分析し、不正なURLとしてのしきい値を作っている。「URLの長さやURLが含む文字のランダムさ、辞書に載っている言葉の数、ノンアルファベットの比率などからしきい値を作る」(経営企画部マネージドセキュリティサービス推進室の新夕将史主査)。

この記事は会員登録で続きをご覧いただけます

日経クロステック登録会員になると…

新着が分かるメールマガジンが届く
キーワード登録、連載フォローが便利

さらに、有料会員に申し込むとすべての記事が読み放題に!
日経電子版セット今なら2カ月無料