4. サイバーセキュリティの高度化に関する研究

4.1. ドライブバイダウンロード攻撃検知手法に関する研究

4.1.1. HTTP通信群に対するテンプレートにもとづくマルウェア検知手法(NTTセキュアプラットフォーム研究所との共同研究)

マルウェア感染端末の検知は、サイバー攻撃を軽減するための重要な課題の 1 つである。感染端末の検知のためにテンプレートを利用した手法が提案されてきた。テンプレートは、正規表現を用いることで攻撃者による多型な攻撃を検出するよう設計されている。そして、監視対象の通信をあらかじめ観測し、テンプレートの類似度に加えて当該 URL の頻出度を考慮することで、誤検知を抑えつつ感 染端末を検出していた。しかし、十分な良性通信の観測情報が得られない状況下では、多数の誤検知を生じる。

そこで、我々は、十分な良性通信の観測情報が得られない場合でも、高い検知率と低誤検知率の両立 ができる手法について検討を行っている。本研究では、多くのマルウェアが複数の HTTP 通信を発生させていることを考慮し、当該端末が一定時間内に発生している HTTP リクエストを束ねた、HTTPリクエスト群の特徴を捉えたテンプレートを生成することを提案している。実際のトラヒックデータを提案手法に適用した結果、閾値を制御することで従来手法に比べ、高い検知率かつ低誤検知率を達成できている。

[関連発表論文]

4.2. ホームIoTにおけるサイバーセキュリティの高度化に関する研究

4.2.1. ホームIoT におけるユーザ行動のセンシング情報を用いた異常検知手法(三菱電機サイバーセキュリティ協働研究所における研究成果)

近年、各家庭において、ホームIoT (Internet of Things) 機器と呼ばれる様々な機器がインターネットに接続するようになった。インターネットに接続する機器が増えるにつれ、それらの機器を狙った攻撃が発生するようになり、ホームIoT機器の攻撃の対策は急務である。特に、ホームIoT機器の不正操作については、従来からインターネットに接続されていたパーソナルコンピュータ等の機器とは異なり、生命の危機に直結する可能性もあり、それらの攻撃への対応は重大な課題となっている。しかしながら、ホームIoT機器の操作は機器操作に用いられる通信プロトコルに従って行われるため、不正操作時に流れるパケットはユーザが当該機器をネットワーク経由で操作した際に流れるパケットとの差がなく、既知の不正パケットとのパターンマッチング等の従来の攻撃検知手法での検出は困難である。そこで、本研究では、ホームネットワークに接続された機器に対する不正操作を検出するための新たな手法を提案している。この手法では、時刻やセンサー等で観測された温度等の環境ごとに、ユーザが機器操作を行う順を学習する。そして、機器操作が行われた際には、学習されたその環境下での機器操作の順と照合し、不一致であれば不正操作と検出する。我々は、本提案手法の精度について評価をするとともに、検知精度を向上させるために、ユーザが機器操作をする状況をより正確に推定するための家庭内の状況を把握する手法の検討や、他家庭の操作情報を活用することにより学習データの不足に対応する手法の検討を進めている。

[関連発表論文]

4.3. インシデントの情報提示手法に関する研究

4.3.1. 新たに発生した異常に対応する説明を提示するシステム

インシデントが発生した際には、管理者はそのインシデントに対して、迅速に対応することが求められる。インシデントの検知のみならず、発生したインシデントに関する情報を管理者に提示することが、インシデントへの迅速な対応を行うために有用である。インシデントに関する情報を提示する方法として、これまでに対応したインシデントに関する情報を蓄え、学習することにより、新たに発生したインシデントと類似した過去のインシデントに関する情報を提示するという方法が考えられる。しかしながら、この方法では、新たに発生したインシデントが過去に発生したいずれのインシデントとも異なる場合であっても、誤って、過去のインシデントに関する情報を提示してしまい、インシデントの初動対応をかえって遅らせてしまうことも考えられる。

そこで、我々は、新種のインシデントに対しても、管理者に誤解させることなく、当該インシデント対応のためのヒントとなる情報を提示する方法について研究している。本研究では、新たなインシデントが発生した際には、過去の類似した事象の名前を提示するとともに、類似事象との相違点がある場合には、相違点についても提示するシステムを構築し、その動作の確認をしている。

[関連発表論文]