| 加藤 雅彦 (株)インターネットイニシアティブ シニアエンジニア |
[背景]標的型攻撃による重要情報の窃取などが社会的な問題となっている
[問題]現在のネットワークシステムでは標的型攻撃の検出や防御が困難
[貢献]モデル評価やダミー情報を使った攻撃検出による標的型攻撃対策を提案
[問題]現在のネットワークシステムでは標的型攻撃の検出や防御が困難
[貢献]モデル評価やダミー情報を使った攻撃検出による標的型攻撃対策を提案
インターネットは重要な情報が流れる社会インフラとなっている.その利便性の高さから利活用が進む一方,安全な利用を妨げるような攻撃行為も日々増加し,情報漏えいやサービス妨害といったセキュリティ事故が多数発生している状況にある.そのため,セキュリティ対策が必須となっており,一般的には,ファイアウォールを使用してインターネットから組織内ネットワークシステムを分離したり,アンチウイルスソフトウェアによってクライアントPCをウイルスから保護したりするといったことが行われており,一定の効果をあげている.
しかし,近年そのようなセキュリティ対策を回避して行われる「標的型攻撃」が現れ大きな脅威となっている.不特定多数を対象とした攻撃などとは異なり,標的型攻撃は,ある特定の組織や人物を標的として情報窃取などを行う攻撃である.攻撃方法としてはさまざまな手段が組み合わされる.まず,不正プログラムが添付された電子メールを標的に送信するなどして,組織内ネットワークにバックドアを開設する.その後,バックドアとなったPCを遠隔操作し組織内での探索や感染活動を行う.最終的には目的とする情報の窃取やシステム破壊などの行為が行われる.組織内ネットワークシステムは各種のセキュリティ対策が突破されることを前提として設計されていないこと,また,侵入後の遠隔操作がHTTPなどの組織内で通常利用される通信を模倣して行われることなどにより,攻撃を認知することが難しく,迅速な対策が困難となっている.
そこで本研究では,組織内ネットワークシステムにおける標的型攻撃の新たなセキュリティ対策方法を検討し提案した.具体的には,標的型攻撃対策を考慮した組織内ネットワークシステムの設計手法,および設計された対策が有効に機能することを検証するためのシミュレーション手法,さらに,通常通信を模倣した遠隔操作用バックドア通信の迅速な検出手法である.
まず,組織内ネットワークシステム設計手法として,設計情報を定量的に評価するためのデータモデルを提案した.次にネットワークシステム設計の安全性評価について検討を行った.その結果,標的型攻撃が行われた場合に重点的な保護が必要なポイントを導出するなど,攻撃の影響度合いを定量的に算出することが可能となることを示した.
次に,ネットワークシステム設計情報を利用して,標的型攻撃のシミュレーションを行う手法について検討を行った.組織内ネットワークシステムのデータモデル化に加えて,標的型攻撃の一連の動作をモデル化して定義し,攻撃のシミュレーションを行うことによって対策の適切性が検証できることを示した.
最後に,標的型攻撃の遠隔操作で利用されるバックドア通信のリアルタイム検出手法の研究を行った.PCから送信されるHTTPリクエストに対して中継サーバが独自の情報を追加し,追加した情報の処理結果を確認することで,通常のブラウザによる通信か遠隔操作の通信かを識別する手法を提案した.標的型攻撃で使用される不正プログラムを実際に動作させて提案手法を検証し,本手法で検出可能な標的型攻撃のバックドア通信が存在することを確認した.
しかし,近年そのようなセキュリティ対策を回避して行われる「標的型攻撃」が現れ大きな脅威となっている.不特定多数を対象とした攻撃などとは異なり,標的型攻撃は,ある特定の組織や人物を標的として情報窃取などを行う攻撃である.攻撃方法としてはさまざまな手段が組み合わされる.まず,不正プログラムが添付された電子メールを標的に送信するなどして,組織内ネットワークにバックドアを開設する.その後,バックドアとなったPCを遠隔操作し組織内での探索や感染活動を行う.最終的には目的とする情報の窃取やシステム破壊などの行為が行われる.組織内ネットワークシステムは各種のセキュリティ対策が突破されることを前提として設計されていないこと,また,侵入後の遠隔操作がHTTPなどの組織内で通常利用される通信を模倣して行われることなどにより,攻撃を認知することが難しく,迅速な対策が困難となっている.
そこで本研究では,組織内ネットワークシステムにおける標的型攻撃の新たなセキュリティ対策方法を検討し提案した.具体的には,標的型攻撃対策を考慮した組織内ネットワークシステムの設計手法,および設計された対策が有効に機能することを検証するためのシミュレーション手法,さらに,通常通信を模倣した遠隔操作用バックドア通信の迅速な検出手法である.
まず,組織内ネットワークシステム設計手法として,設計情報を定量的に評価するためのデータモデルを提案した.次にネットワークシステム設計の安全性評価について検討を行った.その結果,標的型攻撃が行われた場合に重点的な保護が必要なポイントを導出するなど,攻撃の影響度合いを定量的に算出することが可能となることを示した.
次に,ネットワークシステム設計情報を利用して,標的型攻撃のシミュレーションを行う手法について検討を行った.組織内ネットワークシステムのデータモデル化に加えて,標的型攻撃の一連の動作をモデル化して定義し,攻撃のシミュレーションを行うことによって対策の適切性が検証できることを示した.
最後に,標的型攻撃の遠隔操作で利用されるバックドア通信のリアルタイム検出手法の研究を行った.PCから送信されるHTTPリクエストに対して中継サーバが独自の情報を追加し,追加した情報の処理結果を確認することで,通常のブラウザによる通信か遠隔操作の通信かを識別する手法を提案した.標的型攻撃で使用される不正プログラムを実際に動作させて提案手法を検証し,本手法で検出可能な標的型攻撃のバックドア通信が存在することを確認した.
(2015年6月8日受付)