富士通ら、やり取り型標的型メール攻撃をリアルタイムに検知する技術

富士通と富士通研究所は1月21日、特定の組織などを攻撃対象とする標的型メール攻撃をリアルタイムに検知する技術を開発したことを発表した。

今回、開発された技術は、利用者の普段のメール送受信とその前後のWebサイトへのアクセスなど一連の操作履歴を関連付けた上で学習し、それと異なる不審な動作をやり取り型の標的型メール攻撃としてリアルタイムに検知する技術。

同技術は次の2つの技術から構成されている。

1つ目は、「メール受信を起点とする利用者の複数の操作履歴を関連づける技術」で、利用者がメールを受信し、本文を閲覧、本文中のURLをクリックして、ブラウザでWebページにアクセスするといった、メール受信を起点とする利用者の一連の操作履歴を関連づける技術が開発された。

これにより、利用者がやり取りするメールの相手ごとに、長期間にわたる一連のメールのやり取りとそれに関連するWebアクセスなどの操作履歴を関連づけることで、例えば、あるWebサイトからのダウンロードが特定の相手とのやり取りの中で行われたものかどうかを識別できるという。

2つ目は、「組み合わせ判断によるリアルタイム異常検知技術」で、やり取り型の標的型メール攻撃に対するリアルタイムな検知を実現するにあたり、長期間にわたる利用者のすべての操作履歴は膨大になるため、一連のメールに関連づけられた操作履歴だけを組み合わせて学習・比較することで異常検知する技術が開発された。