企業や組織を狙うサイバー攻撃が相次いでいる。ベンダー各社は、対策製品を多数提供しているが、攻撃が巧妙化している現状では、対応できないことがある。だが、防御側は手をこまねいている訳ではない。攻撃者を“超える”ための新たな技術を日々開発している。その一例が、不審な通信や機械学習で新種ウイルスを検出する技術、ウイルス攻撃を事前に察知する技術、インターネットに潜む悪質なサイトを探し出す技術だ。次世代のサイバー攻撃対策技術を紹介しよう。

 サイバー攻撃を防ぐ技術のいくつかは限界に来ている(表1)。その一つが、パターンマッチングによるウイルス(マルウエア)検出だ。パターンマッチングでは、既知のウイルスを解析して、プログラムコードの特徴的なパターンなどを抽出。検査対象ファイルにそのパターンが含まれる場合には、ウイルスだと判定する。既知のウイルスについては有効な手法だが、最近では、攻撃ごとに新しいウイルスが作られるようになっているために、検出できない場合が増えてきた。

表1●従来の対策技術は限界に、新技術で問題解決を図る
従来の対策技術の問題点と、それを解消するために研究されている新技術の例
[画像のクリックで拡大表示]

 そこで考えられているのが、プログラムの通信や振る舞いからウイルスかどうかを判定する技術だ。これなら、新たに出現したウイルスも検出できる。

 ウイルスによる攻撃を事前に察知しようという取り組みもある。ウイルスの中には、他のウイルスと協調し、攻撃者の命令をきっかけに攻撃を開始するものがある。そういったウイルスの一つを“飼育”して、攻撃者との通信を観測することで攻撃の予兆をつかむ。

 ウイルスをばらまく悪質サイト対策も進んでいる。悪質サイトは数が多い上に、あの手この手で“本性”を隠そうとする。新技術では、ユーザーの力を借りて悪質サイトを見つけ出す。以下、それぞれの詳細を解説する。

ダークネット監視システム

未使用のIPアドレスを監視する通信元はウイルスの可能性大

 怪しい通信からウイルスを見つける――。独立行政法人の情報通信研究機構(NICT)では、そのための研究を2005年から続けている。NICTでは、企業や組織の協力を仰ぎ、それらが所有する「未使用のIPアドレス」へのアクセスを観測。未使用のIPアドレスへのアクセスは「怪しい通信」とみなし、通信元のパソコンにはウイルスが感染している危険性が高いと判断する。ウイルス自体を検出する訳ではないので、パターンマッチングでは検出できないウイルスを見つけ出せる可能性がある。

 企業や組織に割り当てられているものの、実際には未使用のIPアドレスは「ダークネット」と呼ばれる。正常な通信がダークネットに届くことはまずない。ダークネットへの通信は、感染拡大を目的としたウイルスによる通信の可能性が高い(図1)。

図1●「ダークネット」への通信元はウイルスの可能性大
未使用のIPアドレス群「ダークネット」を利用したサイバー攻撃の検出イメージ
[画像のクリックで拡大表示]

 同様のシステムは他にもあるが、NICTが運用するダークネット監視システム「nicter(ニクター)」の特徴は、観測している未使用のIPアドレスが約21万件と多いこと。「世界最大規模」(NICT ネットワークセキュリティ研究所 サイバーセキュリティ研究室の井上大介室長)だという。

 nicterには、ダークネットへの通信、すなわち攻撃トラフィックを可視化する機能も充実している。例えば、画面上に世界地図を表示し、国内企業・組織への攻撃をリアルタイムで可視化する機能がある(図2)。

図2●国内への攻撃を地図上に可視化、脅威の理解を助ける
ダークネット監視システム「nicter(ニクター)」を使って、国内へのサイバー攻撃を可視化した例
[画像のクリックで拡大表示]

 nicterを応用して、特定の企業や組織のウイルス感染を検出するシステムも開発している。「DAEDALUS(ダイダロス)」だ(図3)。ウイルス感染を検出してもらいたい企業・組織はNICTに連絡し、自社に割り当てられているIPアドレスをDAEDALUSに登録してもらう。DAEDALUSの管理画面上には、登録された企業・組織のネットワークが一つのリングとして表示される。リングの青い部分が使われているIPアドレス群、黒い部分がダークネットである。

図3●ダークネットへの通信からウイルス感染パソコンを検出
「DAEDALUS(ダイダロス)」の画面例
[画像のクリックで拡大表示]

 登録されているIPアドレスからダークネットへの通信を観測すると、そのIPアドレスのパソコンはウイルスに感染している可能性が高いとして、管理画面に警告マークを表示。DAEDALUSの管理者は、該当企業・組織の管理者にメールなどで通知する。

この先は日経クロステック Active会員の登録が必要です

日経クロステック Activeは、IT/製造/建設各分野にかかわる企業向け製品・サービスについて、選択や導入を支援する情報サイトです。製品・サービス情報、導入事例などのコンテンツを多数掲載しています。初めてご覧になる際には、会員登録(無料)をお願いいたします。