富士通研究所、遠隔操作マルウェアを検知する新技術を開発

組織内に潜伏した遠隔操作マルウェアを迅速に検知する技術を富士通研究所が開発。端末2000台規模のネットワーク環境で遠隔操作に関わる全ての通信を検知できたという。

[ITmedia]

　富士通研究所は4月15日、標的型サイバー攻撃などに使われる遠隔操作型マルウェア（RAT）を迅速に検知する新技術を開発したと発表した。端末2000台規模のネットワーク環境による実証では誤検知をRATの通信パターンの高速検知技術することなく、遠隔操作に関わる全ての通信の検知に成功したという。

　新技術は、組織内に潜伏して外部の攻撃者からの命令を実行したり、搾取した情報などを攻撃者へ送信したりするRATを迅速に検知するもの。攻撃者とRAT間の通信は通常の通信に紛れ込む場合が多く、特に大量の通信が発生する環境では検知が難しいとされた。

　富士通研究所はRATの活動に共通してみられる通信パターンに着目し、イントラネット通信との関係性を解析することでRATの高速検知を目指した。新技術では「特定領域判定」という複数通信の特定領域の情報と通信順序の関係のみを使って解析処理量を削減しながら高い精度で攻撃通信を判定する方法と、攻撃手順の段階ごとに絞り込んで管理することで効率的に複数の不審な通信を検知する「絞込み判定」の2つの判定手法を採用した。

富士通研究所が開発したRATの通信パターンを高速検知する技術

　実証評価では2000台規模の端末が接続された大量の業務通信が流れているネットワーク環境で、RATの潜伏活動を再現。ギガビットネットワーク上での全通信パケット量の0.0001％にあたるRATの攻撃通信を全て検知し、誤検知は認められなかったという。

　富士通研究所は2014年度中に新技術の製品化を目指す。これにより、ファイアウォールやウイルス対策ソフトでは検知が困難な標的型攻撃マルウェアを、情報漏えい前に検出できると説明している。