PR

 PFUは2015年10月28日、標的型攻撃の検知技術を開発したと発表した。PCと外部の通信内容を常時監視し、攻撃者が標的組織にマルウエア(悪意のあるソフトウエア)を侵入させた後に取る共通した行動にどの程度一致するかをリアルタイムで検知する。PFUは同技術の商品化を早期に進めるという。

 検知技術「Malicious Intrusion Process Scan」を開発した。標的組織にマルウエアを侵入させた後の攻撃者の行動プロセスを数十に分けて、「攻撃者行動遷移モデル」と呼ぶモデルにまとめた(図1)。例えば、標的型メールに記載したURLを受信者にクリックさせてマルウエアを外部からダウンロードさせる、侵入したPCから他のPCに感染を広げる、遠隔操作して情報を盗み出す、といったプロセスがあるという。

図1●攻撃者の行動プロセスに着目した「攻撃者行動遷移モデル」の概念図
図1●攻撃者の行動プロセスに着目した「攻撃者行動遷移モデル」の概念図
(PFUの資料から抜粋)
[画像のクリックで拡大表示]

 新技術を使うと、PCと外部との通信内容が攻撃者のどの行動に適合するかの度合いをリアルタイムで算出できる。PCと外部との通信はネットワークにつないだ装置で常時監視する(図2)。PCに特別なソフトを導入しないため、攻撃者に気づかれる恐れが無いとする。

図2●監視から検知までの流れ
図2●監視から検知までの流れ
(PFUの資料から抜粋)
[画像のクリックで拡大表示]

 昨今の標的型攻撃は、独自の通信プロトコルや感染ツールを使わず、通常のWebサイトへの通信プロトコルやWindowsの標準ツールを使うようになっており、検出が難しい。PFUの新技術は過去からの通信内容を行動モデルに照合することで、検知の精度を高めているという。実際にPFUが複数の顧客の協力の下、10万台のPCを使って2カ月間実証実験したところ、324件の標的型攻撃を検知した。これらの顧客は主にファイアウォールとウイルス対策ソフトでセキュリティー対策を実施していたという。

 PFU ソリューション&ソフトウェアグループ アプライアンスソフトウェア事業部 企画部の乙丸克之氏は「マルウエアに着目した対策では、どうしても攻撃者が先行して防御側が後追いするため、対策に空白期間が発生してしまう。攻撃者の特性はマルウエアが進化してもそれほど変化しないことに着目し、今回の検知技術を開発した」と話す。実証実験の結果が良好だったことから、商品化の検討を急ぐという。