体力勝負から自動化にシフトするリクルートのサイバー攻撃対応(2/2 ページ)

» 2016年07月04日 08時10分 公開
[國谷武史ITmedia]
前のページへ 1|2       

ログから振る舞いや行動を復元

 オンラインサービス上でのユーザー行動に関するログだけでも、その量や種類はやはり膨大な規模になる。ただ、そのほとんどは正規のユーザーによるものであり、攻撃者の不正な活動はごくわずかしかない。

膨大なログから脅威を絞り込んでいく

 そこで同社は、膨大なログから脅威の疑いがある兆候を抽出するために、ユーザー単位で振る舞いを復元するという。具体的には、認証を試行したID数や試行回数、認証結果、成功率や失敗率、認証間隔、アクセス元の環境といった情報に、社内で持つ既知の脅威のブラックリストや外部から提供される脅威情報を組み合わせて分析し、IDごとに脅威を判定する。

 こうした分析の結果、不審なIDによるアクセスが1万分の1の確率で発生していることが分かった。しかも、瞬時に行動が終了していることも判明した。通常のユーザー行動では想定されない謎の行動であることから、中村氏は不審なアクセスの狙いを分析。その結果、攻撃者は大量の偽アカウントを作成してログインを試行し、抽選で会員ユーザーに付与されるボーナスポイントを不正に得ようとしていたことが分かった。

脅威を絞り込んでいく分析でのアプローチ

 ただし大量のログから脅威が疑われる行動を絞り込んでも、本当の脅威を特定するには、実際には脅威ではない“ノイズ”を除去しなければならないという。ここでより詳細な解析や調査、攻撃者のプロファイリングといった高度な分析を実施し、真の脅威と特定されるアクセスが100万分の1の確率であることが判明した。

真の脅威を特定した結果

 攻撃者が不正なアクセスを実行するには、大量の偽アカウントを用意しなければならないなど、それなりに時間や手間がかかる。ここまで絞り込むことによって脅威の予兆を検知できれば、攻撃への対応もしやすくなる。

 中村氏によれば、2015年11月のある週における実績では、既存の検知システムが5件のIPを検知したのに対し、振る舞いなどから詳しい分析を行う方法では539件が検知された。この結果は、検知システムを回避する攻撃が多いためだという。また、詳しい解析に必要な時間は、人手による作業なら少なくとも数時間を要するが、手法やツールによる効率化によって数分程度に短縮され、解析結果の信頼性も確保できるという。

既存の検知システムでは限界だったリアルタイム性の高い効率的な検知が可能になったという

機会学習で対応の自動化に挑戦

 中村氏は、解析結果をグラフィカルにダッシュボードで表示することによって、攻撃者の行動を視覚的に把握しやすくする取り組みも進めている。さらには、解析時の情報やダッシュボードのグラフデータを、機会学習技術を用いてシステムに認識させることで、攻撃の可視化や検知の自動化にも挑戦している。

脅威を絞り込んでいく過程での解析結果をグラフィカルにすることで、直観的な判断がしやすくなる

 こうした取り組みによって、同社では攻撃のリアルタイムな検知や脅威を直観的に特定することが容易になり、エンジニアの負担の軽減につながっているという。中村氏は、「自動化を推進することによって、より効率的な脅威対応を実現させたいと語った。

前のページへ 1|2       

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ