(邦訳:伏在するサイバー攻撃の発見:機械学習によるアプローチ)
| 孫 博 国立研究開発法人 情報通信研究機構 |
[背景]サイバー攻撃の手口の進化による新な攻撃が継続的に発生
[問題]既存の攻撃検知システムから回避する巧妙な攻撃の早期検出が必要
[貢献]膨大なデータの中に伏在するサイバー攻撃を自動的に検知
[問題]既存の攻撃検知システムから回避する巧妙な攻撃の早期検出が必要
[貢献]膨大なデータの中に伏在するサイバー攻撃を自動的に検知
サイバー攻撃の手口は急速に進化している.サイバー攻撃は既存の攻撃検知システムから回避することを意図して開発されるため,検知困難な新たな攻撃が継続的に発生している.攻撃者は検知を回避するために,攻撃に関する情報をインターネットで通常見かけるデータと見分けがつかないように情報を偽装する.したがって,エンドユーザがそのような攻撃に気が付き,自らを守ることは非常に困難である.たとえば,攻撃者はサービスに関する評判情報(レビュー)を共有するWebサイトにおいて,偽のレビューを投稿することができる.攻撃者が投稿する偽のレビューは通常のユーザが投稿するレビューと非常によく似ているため,ユーザはこの2種類のレビューを区別できない.もし攻撃者が書いた偽のレビューが悪性サービスへのアクセスを誘導するものであれば,ユーザは被害者となるリスクがある.本研究では,検知を回避することを意図して作られた巧妙な攻撃を「伏在するサイバー攻撃」と呼ぶ.伏在するサイバー攻撃はさまざまなサービスやアプリケーションに遍在し,ユーザやサービスに大きな被害をもたらし得る.したがって,伏在するサイバー攻撃を早期に検出して防止することは,解決が必要なセキュリティ課題のひとつである.
そこで,本研究では,伏在するサイバー攻撃の検出という研究課題に向け,特に多くのユーザが使うサービスであるWebとモバイルに焦点を当てている.
① Webにおける伏在するサイバー攻撃
ドライブバイダウンロード攻撃は,悪性のJavaScriptコードを利用することでユーザのWebブラウザの振る舞いを制御し,マルウェアを自動的にインストールすることを狙いとした攻撃である.そのような攻撃を阻止するアプローチとして,URLのブラックリストを構築するアプローチがある.このアプローチは実用的であり,悪性URLからユーザを保護する手段として広く利用されている.URLブラックリストを構築する上での課題は,一般に悪性なURLの寿命が非常に短いため,常に有効な悪性URLを更新し続けることが必要不可欠である.すなわち,広大なWeb空間に伏在する悪性URLを効率的に探し当てるための技術が必要である.したがって,この問題(伏在する悪性URLの効率的な検索)を最初の研究課題とする.
② モバイルにおける伏在するサイバー攻撃
一般にモバイルアプリストアは,アプリに関する情報として,アプリのレーティング,レビュー,インストール数,カテゴリ等の情報を提供している.ユーザはモバイルアプリストアでアプリを検索し,アプリのレーティング,レビュー,およびその他の情報を参考として,そのアプリをインストールするかしないかを決定する.したがって,レビュー情報等を意図的に操作することにより,ユーザの意思決定に影響を与えることができる可能性がある.より具体的には攻撃者は,偽のレーティングやレビューを多数投稿することにより,ユーザに悪性アプリをインストールするよう誘導するプロモーション攻撃(PA)を行う可能性がある.一方,攻撃者は巧妙にレビュー情報を投稿するため,一般のレビュー情報と見分けをつけることが困難である.つまりそのような悪性レビューは通常のレビューに伏在する状況である.本研究では,モバイルアプリストアにおける伏在するプロモーション攻撃を第二の研究課題とする.
上記の2つの研究課題に関してはいずれも非常に多くのユーザが存在しており,セキュリティ課題としてのインパクトが高い.その一方で,これらの課題はきわめて大規模な情報を扱うため,伏在するサイバー攻撃を検知するためには人手によらない,自動化された技術が必要である.そのためのアプローチとして,本研究は機械学習技術を活用する.機械学習技術の効果的な適用により,膨大なデータの中に伏在するサイバー攻撃を自動的に抽出することが期待できる.
(2018年5月31日受付)