メルトピア

経営基盤を強化するIT戦略

三菱電機メルトピア。様々な事例がご覧いただけます。

  • エキスパートインタビュー

  • 経営基盤を強化するIT戦略
  • 2017年 12月号(No.232)
  • 攻撃者の視点で
    不審な行動を見つける
    新しいサイバー攻撃検知技術

人物写真

三菱電機株式会社 情報技術総合研究所
情報セキュリティ技術部長
米田 健 氏

サイバー攻撃の脅威は増大していますが、それに対抗するセキュリティー技術も進歩しています。三菱電機 情報技術総合研究所が開発した「サイバー攻撃検知技術」は、攻撃者の視点で、ネットワーク上の不審な活動を監視するユニークな方式で、高精度に攻撃を発見します。最近のマルウエアの事情と、それに対するサイバー攻撃検知技術の特徴について、三菱電機 情報技術総合研究所 情報セキュリティ技術部長 米田健氏に伺いました。

米田 健(よねだ・たけし)氏プロフィール
1994年三菱電機株式会社に入社。2010年に三菱電機インフォメーションシステム事業推進本部情報セキュリティ事業推進センター センター長を経て2014年より情報技術総合研究所 情報セキュリティ技術部 部長として、情報セキュリティー、制御セキュリティーの研究開発プロジェクトの企画推進に従事。三菱電機のセキュリティー専門組織CSIRT(Computer Security Incident Response Team)メンバー。内閣府の推進するImPACT「ファクトリセキュリティ」開発リーダ、日独産業セキュリティアクショングループメンバー。また、人材育成にも努め、中央大学・大阪大学・横浜国立大学にて情報セキュリティーの講座を持つ。大阪大学 産学連携教授。

オフィスへのサイバー攻撃の被害が
発電所や製鉄所などに波及

 三菱電機 情報技術総合研究所においてセキュリティーの研究開発や三菱電機社内のセキュリティー体制の整備などを推進している米田氏は、最近のサイバー攻撃の新しい傾向について、次のように語ります。
 「注目すべき例として、オフィスのパソコンが感染したマルウエアによって、工場や発電所、製鉄所などが外部からコントロールされてしまった事例が挙げられます」
 こうしたケースでは、自動車工場の生産が停止したり、製鉄所のシステムが制御不能になるなどの深刻な被害が発生しました。
 「被害をもたらしたマルウエアは、元々は情報系のシステムをターゲットとしたものでした。最近は、効率や利便性を高めるため、オフィスの情報システムと生産現場のシステムをネットワークで繋げる企業が増えました。かつては独立していた生産現場がオフィスのネットワークと繋がったことで、影響の波及度が大きくなったのです。攻撃側の視点に立ってみれば、オフィスのシステムに侵入できれば、そこを経由して工場やインフラのシステムにも入れるという、新しい攻撃の経路ができたことになります」(米田氏)
 発端となった情報系システムへの侵入は、メールなどを使った標的型攻撃によって行われています。これは標的型攻撃への防御が依然として重要であることを証明しています。しかし、毎日膨大な数の新種が登場するマルウエアに対して、既知のマルウエアを見つけるだけの防御では不十分です。また、オフィスのパソコンに侵入したマルウエアが工場やインフラへと触手を伸ばしていることから、マルウエアを侵入させないだけでなく、侵入を許した後に、いち早くそれを検知することが重要になっています。
 「最近の防御技術のトレンドは、すでに侵入したマルウエアを見つける方向にシフトしています。私どもが開発したサイバー攻撃検知技術は、まさにこの侵入したマルウエアによる被害を未然に防ぐためにあります」(米田氏)

▲ ページトップに戻る

攻撃の手口とシナリオに着目した
サイバー攻撃検知技術

 三菱電機情報技術総合研究所の開発したサイバー攻撃検知技術は、あらゆるマルウエアに共通する攻撃手口に着目することで、システムに侵入したマルウエアによる攻撃を高精度に見つけ出すことができます。米田氏は、この技術の特徴を次のように説明します。
 「私どもの技術では、システムに侵入しようとする攻撃者の視点に立って、彼らが目的を達成するために必ず通る経路に網を張っておきます。企業のサーバーから情報を盗んだり遠隔操作するという目的を達成するために必要な手順というのはある程度決まっています。攻撃者にとって、個々のマルウエアは道具に過ぎません。道具の種類がどれだけあっても、まずサーバーがどこにあるか探し、見つかったらそこにどんな脆弱性があるかを探し、その後、脆弱性を突いて入り込む、という攻撃の手口は変わりありません」
 情報技術総合研究所では、攻撃者が目的達成のために必ず実行する攻撃手口を詳細に研究することで、50個程度にまで絞り込みました。さらに、その手口の一連の組み合わせを「シナリオ」として定義しています。そしてこのシナリオに沿って手口が実行された時に、マルウエアの活動と判断します。
 「手口とは、例えばサーバーを探すために特定の通信を行うといった単独の行為です。最近のマルウエアは巧妙なので、ひとつの手口だけでは、正規ユーザーの行動と見分けがつきません。そこで、怪しい動作があれば、まずその端末をマークして、次にシナリオに沿った動きをするかの監視を続けます。シナリオ通りに怪しい動きが続くと、徐々に疑いが濃くなっていき、一定以上の危険度になるとアラートを発します」(米田氏)
 不審な端末をマークし、すぐに結論を出さずに、予想した手口を続けて実施した場合にクロ判定します。誤検知を大幅に減らすことが可能となりました。他社に先駆けて2013年にアイデアを創出し、2016年に特許を取得しました。
 「誤検知を減らすことはとても重要です。例えば一日に2万件の誤検知があったとします。その2万件の中に本当に危険なものが10件あっても、見つけ出すことは困難でしょう。しかし、検知する数が1日200件に抑えられていれば、セキュリティー担当者が丁寧にチェックして、本当に危険な10件を見つけることができます。人員を増やさずにより多くの脅威に対応できるのが、この検知技術の大きなメリットです」(米田氏)

▲ ページトップに戻る

長期的な視野に立った
セキュリティー人材育成の重要性

 この新しい検知技術を利用した「標的型攻撃対策サービス」が三菱電機インフォメーションネットワーク株式会社(MIND)から提供されています。標的型攻撃対策サービスでは、顧客企業のサーバーやファイアウォールなどのログをMINDで分析することで、端末の危険な動作を検知し、顧客にその情報を素早く提供します。
 「マルウエアかどうかの最終的な判断は人間が行います。顧客に具体的な攻撃の内容を説明したり、より詳しい挙動の確認や裏付けをとる作業には、やはり人間の専門家の高度なノウハウが必要です」(米田氏)
 IoTなどセキュリティーの対象分野が増えるとともに、セキュリティー人材の育成と確保がIT業界の課題として注目されています。米田氏もセキュリティー人材の確保はとても大切だと言います。
 「特に、企業のセキュリティーを統括する部署のメンバーには、技術や知識に加えて高度なコミュニケーション能力が求められます。経営者から、設計・製造現場、バックオフィスまで、社内のあらゆる部署の人と協力して取り組む必要があるからです。また、最新のセキュリティー情報を得るためには、海外も含めた社外の専門家から信頼されている必要もあります。こうした人材を育成するために、セキュリティーの技術、組織のマネジメント、円滑なコミュニケーションといった能力を、時間をかけて養える環境が求められています」

▲ ページトップに戻る

■ 50 の攻撃手口に絞って検知

■ 50 の攻撃手口に絞って検知
毎日、膨大な新種のマルウエアが登場する現在では、既知のマルウエアの特徴を記録した“手配書”と照合するパターンマッチング方式だけでは防御しきれない。三菱電機の標的型攻撃対応サイバー攻撃検知技術では、マルウエアの活動を50 の手口に絞り、さらにハッキングの手順(シナリオ)とも照合することで、未知の攻撃を高精度に検知する。

▲ ページトップに戻る