ビッグデータが浮き上がらせる「攻撃の気配」
――「動的」なアプローチとは、具体的にどのようなものなのでしょうか。
インターネットや企業システムを構成するネットワーク機器や各種のシステムでは、日々、大量のログ情報が蓄積されています。これらのログ情報をリアルタイムにモニタリングし、統計的に分析、可視化することで、通常では起こらない「異常」な動向を見つけ出して警告を出すといったアプローチです。
ここでは、いわゆる「ビッグデータ」活用のためのデータマイニングといった統計的な手法や、機械学習といった手法が使われます。
――それによって、サイバー攻撃のどのような動向を知ることができるのでしょうか。
多くの企業やセキュリティ関連の組織が、さまざまな取り組みを行っています。
例えば、NECではこうした取り組みを「セキュリティインテリジェンス」[1]と呼んで研究されてきました。
セキュリティインテリジェンスには、大量のデータから統計的な外れ値を検出する「SmartSifter」、時系列データの変化点を見つけ出す「ChangeFinder」、大量の行動履歴データから、異常な行動パターンを検出する「AccessTracer」という、3つのエンジンが含まれています。例えば、AccessTracerでは、行動履歴を「混合隠れマフコフモデル」や「ベイジアンネット」といった数学的なモデルに当てはめ、そこから統計的に「異常」なセッションや、ユーザーの行動パターンを検出して、「なりすまし」「不審行動」の検出や、障害予知などを高い精度で行えるようにしています。
また、NICT(独立行政法人情報通信研究機構)では「NICTER(Network Incident analysis Center for Technical Emergency Response)」[2]と呼ばれるインシデント分析システムの研究開発を行っています。
NICTERでは、インターネット上にダークネットと呼ばれる独自の観測網を用意し、そこに発生しているトラフィックをリアルタイムに観測、分析しています。その中から、例えば「ネットワークスキャン」や「バックスキャッタ」といった、サイバー攻撃に特有の傾向を検知し、可視化します。NICTERは、こうしたリアルタイムで起こっている現象の動的な分析と、従来のようなマルウェア検体の収集や解析に基づく静的な分析とを組み合わせて、脅威の把握と、有効な対策の確立を迅速に行うことを目指しています。
――現時点で、ユーザーが利用できるセキュリティ製品でも、こうした動的アプローチは行われているのですか。
4~5年ほど前から、このような動的アプローチを取り入れたセキュリティ製品が市場に登場するようになりました。例えば、SCSKがマルウェア対策ソリューションの一部として提供している「FireEye」という製品は、従来の静的な対策を補完する形で、ゼロデイ攻撃や標的型攻撃などを含む未知のサイバー攻撃から企業システムを保護することを目的としたものです。
FireEyeでは、システムの中に「サンドボックス」と呼ばれる仮想環境を用意し、外部から社内に入ってくるプログラムを、実際に仮想環境上で動作させます。そして、その振る舞いから、有害なものかどうかを分析します。静的対策だけでは発見できない未知のマルウェアなども、高い確率で検知できる仕組みになっています。
――こうしたビッグデータ分析、リアルタイム分析から判明した、最近のサイバー攻撃に見られる特長があれば教えて下さい。
Windowsに対する攻撃であればファイル共有の「445番ポート」や、リモートデスクトップの「3389番ポート」などに対する攻撃が増えていることなどがいち早く分かっています。3389番ポートへの攻撃については、NICTではマイクロソフトが脆弱性パッチを提供する1カ月近く前に異常を検知していました。[2]
そのほかでは、Webカメラや家庭用ブロードバンドルータなど、ユーザーのリテラシが低く、デフォルトのままの管理者パスワードで使われているケースが多いようなデバイスへの攻撃や、スマートグリッドを含むファシリティ系のシステムなど、セキュリティ上問題のある古いOSを、パッチを当てずに使っているようなシステムに対する攻撃も増えているようです。
より多くのユーザーが安心してITの恩恵を享受できる社会のために
――石崎さんが、情報セキュリティ大学院大学で、こうした研究に取り組もうと思ったきっかけは何ですか。
SCSKでの業務では、主に「防御側」の立場でITセキュリティに取り組んでいます。その中で、より深くセキュリティについて理解するために、「攻撃側」の仕組みについても、詳しく知りたいと思うようになりました。それが大学院に通うようになったきっかけです。
IT技術は日々進化しています。でも、その進化が悪用されることで、大多数の一般のユーザーが不利益を被っているという現実があります。ユーザーは「セキュリティを守るため」という名目で、「利便性」を犠牲にさせられ、不便で窮屈な形でしかITを使えないという場面も多いのではないでしょうか。そんな状況を変えるために、できることはなんだろうかと考えています。
今回お話しした「ビッグデータ解析に基づくセキュリティ対策」の課題としては、可視化されたデータから状況を分析して、そこで生まれている脅威を把握できる技術を持ったセキュリティ技術者、ネットワーク技術者がまだまだ少ないということが挙げられています。私自身、業務と研究を通じて、より多くのユーザーが便利で有用なITシステムを、安心して使える環境を実現するための力になっていければと考えています。
――ありがとうございました。
資料のご提供SCSK FireEye監視サービス
本稿内でもご紹介しておりますSCSK株式会社の「SCSK FireEye監視サービス」PDF資料を無料でご提供中です。既存の手法で防げない未知の攻撃や、攻撃のたびにカスタマイズされる標的型攻撃からネットワークを守りたいと思っている方は、この機会にせひご覧ください。
参考文献
[1] 山西健司(2009) 『データマイニングによる異常検知』共立出版 pp.8-92
[2] 井上大介(2013) 「サイバーセキュリティの最前線とビッグデータ分析」 『連続セミナー2013 第3回ビッグデータ時代のセキュリティ』情報処理学会 pp.4-9