NTTコミュニケーションズ(NTT Com)は10月7日、グローバル総合セキュリティサービス「WideAngle」において、サイバー攻撃に対する検知力/分析力を大幅に強化したと発表した。マネージドサービス基盤に独自開発の人工知能(機械学習機能)などを組み込み、過去のブラックリストにない悪性サイトへの通信検知を実現した。
最近のマルウェアでは、シグネチャベースのセキュリティソリューションによる検知を回避するために「DGA(Domain Generate Algorithm)」と呼ばれるドメイン名の生成アルゴリズムが使われるようになっている。攻撃者は、DGAで機械的に生成されるドメイン名でC&Cサーバーを用意する。一方、ターゲット組織内に侵入したマルウェアは、同じDGAに基づいて通信先ドメイン名(URL)を決定し、C&Cサーバーにアクセスする。こうして通信を確立することで、攻撃者は外部からマルウェアを遠隔制御可能になる。
GDAを利用することで、攻撃のたびに次々と新たなドメイン名が生成されるため、パターンマッチングやブラックリスト方式で不正通信を検知するセキュリティソリューションでは対処が困難だった。
今回NTT Comでは、WideAngleマネージドセキュリティサービスの基盤となるSIEMにおいて、この不正通信をリアルタイムに検知できる仕組みを開発した。具体的には、機械学習技術を使ってGDAによる攻撃者/マルウェアのURL自動生成特性を学習し、不正通信のみを検知する検出ロジックなどを活用して「99.5%」の確度で攻撃サイトとの通信を検知する。
不正通信の検知後は、顧客への報告、感染エンドポイントの隔離/遮断、IPSやURLフィルタによる通信遮断といったアクションを迅速に実行することが可能となる。
NTT Comでは「このような悪性サイトとの不正通信を、人工知能を活用してリアルタイムに検知できるサービスは世界初」と述べている。今後もセキュリティ分野における人工知能の活用を推進していく方針で、すでに通信パターンからマルウェアを検知する機械学習機能の開発にも着手しているほか、ボットネットやAPTのふるまいを観察する機能、情報詐取を検知する機能なども、2016年春をめどにマネージドセキュリティサービス基盤に組み込む予定。