富士通研究所、マルウェアの社内潜伏活動を高速検知する技術を開発

富士通研究所は4月15日、特定の企業や個人を狙った標的型攻撃に対して、組織内ネットワークを監視し、マルウェアの社内潜伏活動を高速検知する技術を開発したと発表した。

今回、遠隔操作を目的とするマルウェアの活動を検知する方式として、社内潜伏活動で特徴的に見られる通信パターンに着目し、組織外と組織内の複数の通信の関係性を解析し検知する技術の開発を進め、本方式の実用化の課題であった、汎用的なサーバなどでリアルタイムにマルウェアの検出を実現するための高速化技術を開発した。

この高速化技術により、攻撃者が共通的にとる手法であるチョークポイントの監視方式の高速化が可能となり、限られた計算機資源で動作するネットワーク装置に実装するなどの実用化が実現した。

感染PCが攻撃対象に対して行う攻撃通信の特定を効率的に行うため、「特定領域判定」と「絞込み判定」の2つの技術が開発された。

特定領域判定は、複数通信の特定領域の情報と通信順序の関係のみを使うことで、解析処理量を削減しながら、高精度な攻撃通信の判定を実現する。

絞込み判定は、攻撃の処理手順と通信情報を比較するため、攻撃手順の段階ごとに絞り込んで管理することで、効率的に複数の不審な通信を検知する。

同研究所は、両技術によって検知性能を落とさずに検知処理のできる通信量を約30倍に拡大したとしている。

同研究所では、2,000台規模の端末が接続された大量の業務通信が流れているネットワーク環境で、RATの潜伏活動を再現しながら実証評価を実施。その結果、ギガビットの通信回線でも取りこぼすことなく、全通信パケット量の0.0001％に当たるRATの攻撃通信をすべて検知し、なおかつ業務通信を攻撃通信と誤検知しないことを確認している。