続いての講演は「セキュリティとAIと私」と題し、SOCの守田瞬氏が行った。守田氏は通信ログの中からマルウェアが行なっている通信を効率的に見つけ出すために、AI(機械学習)の手法を使って、データ分析を起点とした脅威の検知・分析について研究している。
-
もともとセキュリティ畑とは異なる分野出身の守田氏。機械学習によるデータ分析で驚異の自動発見を研究している
マルウェアの攻撃はマルウェア自体の更新によって接続先が変わるため、定型化することが難しい。そこで、たとえばC2通信の場合は通信自体の振る舞いから学習させて検知することで、未知の通信先情報であっても検知が有効になるようにしているという。
-
C2通信における検知法
また、DDoS攻撃の一つである「SYN/ACK Reflection攻撃」については、ウェブサーバーなどをリフレクター(反射板)として、偽装したパケットを送って標的に大量のパケットを送って処理能力を飽和させる攻撃だが、リフレクターを一つだけ監視していても攻撃に気づきにくい。そこで多くのリフレクターの送信ログを元に、攻撃を可視化し、ログの詳細分析による検知ロジックの定式化によって検知処理の自動化を果たしているという。
-
SYN/ACK Reflection攻撃の概要
守田氏はもともと光学シミュレーション(レイトレーシング)の研究から機械学習、データ解析という道筋を経てIIJ入りしたということで、当初はドメイン知識(ネットワークやセキュリティ関連)もなかったが、IIJのSOCでは専門知識を生かしてチャレンジングに活動でき、自分の専門以外にドメイン知識となる技術も習得できるところが魅力だと語った。
