企業や組織を狙うサイバー攻撃が相次いでいる。
ベンダー各社は、対策製品を多数提供しているが、
攻撃が巧妙化している現状では、対応できないことがある。
だが、防御側は手をこまねいている訳ではない。
攻撃者を“超える”ための新たな技術を日々開発している。
その一例が、不審な通信や機械学習で新種ウイルスを検出する技術、
ウイルス攻撃を事前に察知する技術、
インターネットに潜む悪質なサイトを探し出す技術だ。
次世代のサイバー攻撃対策技術を紹介しよう。
(勝村 幸博)
本記事は日経コンピュータ2月6日号からの抜粋です。そのため図や表が一部割愛されていることをあらかじめご了承ください。本「特集」の全文は、日経BPストアの【無料】特別編集版(電子版)で、PCやスマートフォンにて、2月13日よりお読みいただけます。なお本号のご購入はバックナンバーをご利用ください。
サイバー攻撃を防ぐ技術のいくつかは限界に来ている(表)。その一つが、パターンマッチングによるウイルス(マルウエア)検出だ。パターンマッチングでは、既知のウイルスを解析して、プログラムコードの特徴的なパターンなどを抽出。検査対象ファイルにそのパターンが含まれる場合には、ウイルスだと判定する。既知のウイルスについては有効な手法だが、最近では、攻撃ごとに新しいウイルスが作られるようになっているために、検出できない場合が増えてきた。
そこで考えられているのが、プログラムの通信や振る舞いからウイルスかどうかを判定する技術だ。これなら、新たに出現したウイルスも検出できる。
ウイルスによる攻撃を事前に察知しようという取り組みもある。ウイルスの中には、他のウイルスと協調し、攻撃者の命令をきっかけに攻撃を開始するものがある。そういったウイルスの一つを“飼育”して、攻撃者との通信を観測することで攻撃の予兆をつかむ。
ウイルスをばらまく悪質サイト対策も進んでいる。悪質サイトは数が多い上に、あの手この手で“本性”を隠そうとする。新技術では、ユーザーの力を借りて悪質サイトを見つけ出す。以下、それぞれの詳細を解説する。
ダークネット監視システム
未使用のIPアドレスを監視する
通信元はウイルスの可能性大
怪しい通信からウイルスを見つける――。独立行政法人の情報通信研究機構(NICT)では、そのための研究を2005年から続けている。NICTでは、企業や組織の協力を仰ぎ、それらが所有する「未使用のIPアドレス」へのアクセスを観測。未使用のIPアドレスへのアクセスは「怪しい通信」とみなし、通信元のパソコンにはウイルスが感染している危険性が高いと判断する。ウイルス自体を検出する訳ではないので、パターンマッチングでは検出できないウイルスを見つけ出せる可能性がある。
企業や組織に割り当てられているものの、実際には未使用のIPアドレスは「ダークネット」と呼ばれる。正常な通信がダークネットに届くことはまずない。ダークネットへの通信は、感染拡大を目的としたウイルスによる通信の可能性が高い。
同様のシステムは他にもあるが、NICTが運用するダークネット監視システム「nicter(ニクター)」の特徴は、観測している未使用のIPアドレスが約21万件と多いこと。「世界最大規模」(NICT ネットワークセキュリティ研究所 サイバーセキュリティ研究室の井上大介室長)だという。
続きは日経コンピュータ2月6日号をお読み下さい。この号のご購入はバックナンバーをご利用ください。
