(邦訳:インシデント対応の効率的なトリアージに向けて:脅威分類の自動化とデータ主導の人材育成)
| 畑田 充弘 日本電信電話(株)研究企画部門 担当課長 |
[背景]爆発的な増加を遂げるマルウェア
[問題]インシデント対応の効率的なトリアージ
[貢献]新種マルウェアの発見,PUAの識別,研究用データセットの整備
[問題]インシデント対応の効率的なトリアージ
[貢献]新種マルウェアの発見,PUAの識別,研究用データセットの整備
20世紀後半のインターネットの黎明期以来,コンピュータとネットワークは劇的な進化を遂げ,我々の社会にとって必要不可欠なものとなっている.一方でインターネット社会に利便性をもたらす技術は,攻撃者にとっても魅力的であり,マルウェアによる脅威とその対策はいたちごっこを繰り返している.インシデント発生時に影響を局所化し,影響を受けたシステムを復旧し,再発防止策に努める専門的な役割を担うため,近年では数多くの組織がComputer Security Incident Response Team(CSIRT)を設置している.1988年に最初のCSIRTがMorrisワームの拡散に対応するために設置されて以来,CSIRTは組織内における異常な挙動の兆候を探し,新たなリスクを発見して事前に対策を講じるようになってきた.CSIRTにおけるインシデント対応プロセスは,検知,トリアージ,分析,措置の4フェーズに大別される.限られたリソースで同時に発生するインシデントに対して,対応の優先順位を決めるトリアージはCSIRTにとって極めて重要なフェーズといえる.しかしながら,トリアージを効率的に行う上で「次々に進化を遂げ新種が出現するマルウェア」と「セキュリティ人材の不足」という大きな問題がある.
本研究は,インシデント対応における重要なフェーズであるトリアージの効率化に向けて,脅威分類の自動化とデータ主導の人材育成に焦点を当てている.脅威分類の自動化では,新種のマルウェアの発見を効率的に行うことで,詳細解析のための優先度を上げることができることを示した.アンチウイルスソフトが検知できないマルウェアも多く,検知名もベンダによって異なるため,検知や分類のための学習を行う上で正確なラベルを付与して管理していくこと自体が困難ともいえる.また,多くのマルウェアには何らかの通信挙動がある.そのため,動的解析にてマルウェアを実行する端末の外部で取得できる通信パケットから,95種類の特徴量を抽出してクラスタリングを行い,形成されたクラスタから外れるものを新種(既知の通信パターンとは異なるマルウェア)として区別する点が本研究の特長といえる.
また,広告やソフトウェアの配信,ユーザのWeb閲覧履歴の収集などユーザにとって望ましくない動作をし,攻撃者による悪用が懸念されているPotentially Unwanted Application(PUA)を識別することで,マルウェアに比べて対応優先度を下げることができることを示した.PUAの通信に起因するアラートが大量に挙がると,本来注力しないといけないマルウェアに起因するアラートを見逃す危険性がある.普及が進むAndroidアプリを対象に,アプリがアクセスする通信先(DNSクエリで名前解決するFQDN群)の類似性に着目して,マルウェア,PUA,正規アプリを識別し,PUAの亜種分類を高速かつ高い精度で行う点が本研究の特長といえる.
データ主導の人材育成では,実用的な研究用のデータセット(MWS Datasets)の整備・普及と,コミュニティ運営を通じて,マルウェア対策の知識・技術・経験を有する人材育成への貢献を示した.2008年にマルウェア対策研究人材育成ワークショップを開始して以来,マルウェア対策関連の論文数の増加をはじめ,2018年の現在においても継続的な発展を続けている.
(2018年5月24日受付)