「WideAngle」のマネージドセキュリティサービス運用基盤に搭載した人工知能を拡充し、サイバー攻撃分析ロジックを大幅強化
@Press / 2016年8月1日 11時0分
NTTコミュニケーションズ株式会社(略称:NTT Com)は、総合リスクマネジメントサービス「WideAngle」のマネージドセキュリティサービス(MSS)において、2015年10月に搭載した人工知能によるサイバー攻撃の検知能力を更に強化し、標的型サイバー攻撃やWebサイトへの攻撃などにおける未知の攻撃手法も検知できる独自開発のロジックを2016年8月から順次導入します。
1. 背景
企業の機密情報などを詐取する標的型攻撃やWebサイトへの攻撃は、新種のマルウェアや新しい攻撃手法などにより、日々、高度化しています。そうした未知のセキュリティ脅威を防御するには、過去の攻撃手法を基にしたパターンマッチングやブラックリスト方式による検知・遮断などの従来対策では不十分な状況です。
こうした中、企業の情報資産を守るためには、未知の攻撃手法を用いるサイバー攻撃を、リアルタイムに検知・判別し、迅速に遮断する仕組みが重要となってきました。
2. 概要
NTT Comは、数多の未知のセキュリティ脅威をリアルタイムに検知・判別する仕組みとして、NTTセキュリティ株式会社およびNTTセキュアプラットフォーム研究所が開発した人工知能の要素技術である機械学習を活用したロジックを、「WideAngle」のMSSの運用基盤(SIEM)に組み込み、グローバルに提供します。このため、既に「WideAngle」のMSSを利用しているお客さまは、新規申込をすることなく、脅威検知能力が強化されたサービスを利用可能です。なお、2015年10月7日に報道発表した機械学習機能を活用したDGA(*1)検知ロジックによる未知の悪性URLの検知割合は、お客さま環境によってはCritical Alert全体の6割を占めるまでに至っております。
[イメージ図]
https://www.atpress.ne.jp/releases/108779/img_108779_1.jpg
(1) 標的型サイバー攻撃などにおける未知の攻撃手法の検知
更なる出口対策として機械学習を活用し、新種のExploitKit(*2)の活動やマルウェアコールバックを検知・分析する仕組み(*3)を導入しました。これにより従来攻撃者がコードの一部の僅かな文字列の変更等により従来のパターンマッチングによる検出対策をすり抜けるExploitKitやマルウェアによる被害を最小限に抑えることが可能となります。
また、Proxy/IPSなどのセキュリティアプライアンスを保有しない場合にも、L2スイッチ・ルーター・ファイアウォールなどの通信ログから、機械学習したマルウェア挙動と合致したケースを検出し、未知のマルウェア感染を検知する技術(*4)も導入します。
(2) Webサイト向けの未知の攻撃手法の検知
お客さまのWebサーバーの正常な利用状況を学習し、外部からの未知の脅威を検知・分析する仕組み(*5)を導入しました。これにより、WAFの検出を掻い潜るパラメータ変更やパスコードの一部変更などによるインジェクション攻撃も検出することが可能となります。
3. 今後の予定
NTT Comは、2016年8月1日より事業を開始するNTTセキュリティ株式会社と共に、企業のICT環境をサイバー攻撃から守る手段として、上記に加えて、人工知能に関わる研究・開発活動を継続していきます。また、IoTセキュリティの脅威への対策にも取り組んでいきます。
*1 DGA(Domain Generating Algorithm):
URLアドレスであるドメインネームを自動で生成するための計算手法であり、生成手法をカスタマイズ可能で、多くのマルウェアで活用されている。
*2 ExploitKit:
インターネットに接続されたPCなど、様々な脆弱性に対し、臨機応変に攻撃が出来る様、キット・パッケージ化されたプログラム群を指す。PCへの潜入に成功するとAdobe FlashやJavaなどの通常使用されている技術のバージョンチェックなどを行い、その脆弱性を利用する攻撃用プログラムをダウンロードし、攻撃に繋げる。
*3 TIBS(Time Isolated Behavior Structure):
機械学習を活用し、マルウェアやExploitKitにおける一定時間(勤務時間内など)におけるユーザーの振る舞い(どのようなWebサイトへどのくらいアクセスしているか、そのWebサイトの特徴は何かなど)を学習することで、通常アンチウィルスやURLフィルタリング、サンドボックスなどでは検知できない未知の感染後の活動を検出することが可能となります。
*4 IP Clustering:
感染端末は正常通信も織り交ぜつつ、複数の不審な通信を発生させるという特徴から、マルウェアが利用する上記通信時のプロトコル・ポート・組織などの組み合わせを学習することで、ネットワーク機器の通信ログだけで未知のマルウェア感染を検知することが可能となります。これにより、http通信以外のTCP/UDP通信を行うマルウェアも検出できます。
*5 FRAAD(Frequent Resource Access Anomaly Detection):
お客さまのWebサーバーログから正常利用におけるページシーケンスやURLパラメータなどを自動学習することで、WAFなどの既存の入口対策さえもすり抜けてしまう攻撃を検知することが可能となります。
(記載されている会社名および商品名は、各社の登録商標または商標です)
詳細はこちら
プレスリリース提供元:@Press
この記事に関連するニュース
-
NTTセキュリティホールディングス、2024年版グローバル脅威インテリジェンス レポートで、2023年のランサムウェアと恐喝に関連する事件が+67%と急増したことを発表
共同通信PRワイヤー / 2024年5月1日 9時47分
-
Vectra AI, Midnight Blizzardからの攻撃・脅威を防御するためにセキュリティ担当者が確認すべき8つのポイントを発表
PR TIMES / 2024年4月26日 17時40分
-
「暗号化されたコマンド&コントロール」を悪用する攻撃を防御できる、Vectra AIフローエンジンの提供を開始
PR TIMES / 2024年4月22日 12時45分
-
テリロジーが国内で販売する米国Sumo Logic社の次世代クラウドSIEMのマネージドセキュリティサービスをアイティーエム株式会社と共創し提供開始
PR TIMES / 2024年4月19日 23時40分
-
株式会社テリロジーが国内で販売する米国Sumo Logic社の次世代クラウドSIEMのマネージドセキュリティサービスをアイティーエム株式会社が提供開始
@Press / 2024年4月16日 10時0分
ランキング
-
1箱根にフロントもない「無人ホテル」開業 〝不便さ〟感じる? 記者が体験してみた
カナロコ by 神奈川新聞 / 2024年5月4日 18時38分
-
2周りの人にどう思われているか気になります…他人の評価に「一喜一憂」しないためにはどうしたらいいですか?【現役住職の“天晴れ”な答え】
THE GOLD ONLINE(ゴールドオンライン) / 2024年5月4日 13時0分
-
3日銀がこれほどまで円安を「無視」する3つの理由 「為替は管轄外」では、結局うまくいかない?
東洋経済オンライン / 2024年5月4日 9時30分
-
424年度の企業倒産、1万件超か 原材料高、人手不足が収支圧迫
共同通信 / 2024年5月4日 15時30分
-
5相鉄線「屈指の閑散駅」ついに一新へ! 大幅イメチェン&新改札も 完成時期は?
乗りものニュース / 2024年5月4日 8時42分
記事ミッション中・・・
記事にリアクションする
記事ミッション中・・・
記事にリアクションする
エラーが発生しました
ページを再読み込みして
ください