富士通と富士通研究所は1月21日、特定の組織などを攻撃対象とする標的型メール攻撃をリアルタイムに検知する技術を開発したことを発表した。

今回、開発された技術は、利用者の普段のメール送受信とその前後のWebサイトへのアクセスなど一連の操作履歴を関連付けた上で学習し、それと異なる不審な動作をやり取り型の標的型メール攻撃としてリアルタイムに検知する技術。

同技術は次の2つの技術から構成されている。

1つ目は、「メール受信を起点とする利用者の複数の操作履歴を関連づける技術」で、利用者がメールを受信し、本文を閲覧、本文中のURLをクリックして、ブラウザでWebページにアクセスするといった、メール受信を起点とする利用者の一連の操作履歴を関連づける技術が開発された。

これにより、利用者がやり取りするメールの相手ごとに、長期間にわたる一連のメールのやり取りとそれに関連するWebアクセスなどの操作履歴を関連づけることで、例えば、あるWebサイトからのダウンロードが特定の相手とのやり取りの中で行われたものかどうかを識別できるという。

2つ目は、「組み合わせ判断によるリアルタイム異常検知技術」で、やり取り型の標的型メール攻撃に対するリアルタイムな検知を実現するにあたり、長期間にわたる利用者のすべての操作履歴は膨大になるため、一連のメールに関連づけられた操作履歴だけを組み合わせて学習・比較することで異常検知する技術が開発された。

これにより異常検知に必要な情報量を10分の1以下にコンパクト化でき、通常数日におよぶやり取り型の標的型メール攻撃に対しても、高速な検知処理を行うことができるという。

同社によると、これらの技術により、やり取り型の標的型メール攻撃に関連する一連の不審な動作の連なりを検知し、関連しない動作は除外するため、メールやWebアクセスなどの個々の異常を検知する従来の技術に比べ、実験環境での評価では、検知数を10分の1以下に抑えることができたという。

やり取り型の標的型メール攻撃の検知例

また、今回開発した技術を用いることで、特定の相手との一連のメールのやり取りと関連する操作履歴から、やり取り型の標的型メール攻撃を効率的に検知することができるようになったとしている。

そのほか、サイバー攻撃対策に関する技術「行動特性分析技術」と「ネットワーク検知技術」の拡張も行われ、新技術と組み合わせてセキュリティを高めることが可能になった。

3つの技術を組み合わせた新たなサイバー攻撃対策の仕組み