三菱電機インフォメーションネットワーク(MIND)は2017年8月2日、ユーザー企業の各種機器のログを収集して分析することによって標的型攻撃を検知するサービス「標的型攻撃対策サービス」を発表した。8月7日に販売開始する。最大の特徴は、正規ユーザーのパスワード誤入力などを攻撃として誤検知しないことである。
三菱電機インフォメーションネットワーク(MIND)は、ユーザー企業の各種機器のログを収集して分析することによって標的型攻撃を検知するサービス「標的型攻撃対策サービス」を発表した。
これまでのログ分析では、正規ユーザーのパスワード誤入力などを攻撃として誤検知する場合があった。これに対して、今回開発したサービスでは、従来のログ分析ルールによる攻撃検知手法に加えて、新たに「攻撃シナリオを活用したログ分析手法」を導入し、攻撃と正規ユーザーの活動を判別できるようにした。
図1●攻撃シナリオを活用した攻撃検知の概要(出所:三菱電機インフォメーションネットワーク)拡大画像表示
攻撃シナリオを活用したログ分析のコアとして、三菱電機が開発した「サイバー攻撃検知技術」を用いる。攻撃者が目的達成のために必ず実施する攻撃手口を50個程度に分類し、これら50個程度の攻撃手口を監視することによってマルウェアの活動を検知する仕組みである。
実際の攻撃ではいくつかの攻撃手口が連続して発生することに着目し、一連の攻撃をシナリオとして定義し、攻撃手口がシナリオに沿って実行されているかを確認する。攻撃手口と類似した正規ユーザーの活動を、攻撃シナリオに沿っていなければ正規ユーザーであると識別することによって、誤検知を減らす。
分析対象のログは、Webプロキシサーバーのログをベースに、ユーザーの環境に応じて、Active Directory(AD)、ファイアウォール、IDS(侵入検知装置)/IPS(侵入防御装置)のログを取り込める。それぞれの機器で想定される攻撃手口を幅広く網羅しているという。
サービスの価格(税別)は、月額30万円からで、分析対象のログ量により変動する。詳細は個別見積もり。販売目標として、2017年度から3年間合計で10億円を掲げる。
