ブログ

FFRI BLOG

2014-08-25 マルウェアを直接メールに添付する攻撃手法が増加

マーケティング部の野崎です。

2014年1月に公表された独立行政法人情報処理推進機構(IPA)「標的型攻撃メールの傾向と事例分析 <2013年>」によると、2012年10月から2013年12月の期間に標的型攻撃に使用された不審ファイルのうち、実行ファイルは64%、オフィスやPDFなどの文書ファイルは27%だった、とのことです。

不審ファイル種別割合
出典:IPA「標的型攻撃メールの傾向と事例分析 <2013年>」
http://www.ipa.go.jp/files/000036584.pdf

これまでの標的型攻撃メールでは、攻撃コードを埋め込んだ文書ファイルを送付し、オフィスソフトやPDFリーダーなどのソフトウェアの脆弱性を突いてマルウェアを送り込むという手法が主流でしたが、この表が示す通り、最近ではマルウェアを直接メールに添付するという攻撃手法が増加してきています。もちろん単純にメールに実行形式のファイルを添付すると受信者に怪しまれてしまうため、自己解凍形式を用いたり、RLOという手法を用いて拡張子を偽装したり、「やりとり型」と呼ばれる段階的にメールを送付して攻撃したり、というケースが多いため、実行形式とは言え、ファイルを開いてしまうインシデントが多発しているようです。また、標的型攻撃で使用されるマルウェアは、その攻撃のために専用にカスタマイズしたもの(未知マルウェア)を使用するため、従来型のパターンマッチングを用いた対策では検出・防御が難しいという現状があります。

こうした状況を踏まえ、弊社では未知マルウェア対策の強化が喫緊の課題であると考え、弊社の主力製品である標的型攻撃対策ソフトウェア「FFR yarai」の既存の検知エンジンの強化に加え、新たな観点で未知マルウェアを検知するべく、5つめの検知エンジンとなる「機械学習エンジン」を「FFR yarai」に搭載致しました。
機械学習エンジン

昨今、ビッグデータ・機械学習を用いたデータ解析のアプローチは、様々なシーンで見られます。例えば、顧客の購買行動の情報等を活用したマーケティングの手法や、スパムメールのフィルタリングといった分野では実用化されており、機械学習によって未来の動向を予見することが可能です。

弊社はマルウェアをビッグデータとして捉え、これを機械学習にかけてその傾向・特徴を抽出し、多くのセキュリティベンダーに先駆けてマルウェア検知エンジンとして実装することに成功しました。弊社のマルウェア研究から得られた、マルウェアの振る舞いに関するビッグデータを検知に利用するものです。機械学習で得られたマルウェアの振る舞いの統計情報を元に端末上のマルウェアの挙動を検出するというアプローチです。

この「機械学習エンジン」を搭載した「FFR yarai」は2014年8月22日にリリースしております。このように、弊社では未知脅威に対抗するために製品のエンジンのブラッシュアップを随時行っております。

上記のような昨今のサイバー攻撃の動向やその対策をご紹介させていただくべく、「未知脅威対策はお済みですか?~エンドポイント多層防御で脅威を「止める」~」と題してFFRI主催ハウスセミナーを開催します!(2014年9月26日 恵比寿)

本セミナーでは、実際にあった標的型攻撃の攻撃プロセスをシミュレートしたデモ動画や、過去の防御実例なども交えながらご説明いたします。是非、皆様のご参加をお待ちしております。セミナーの詳細・お申込みはこちらから。


関連記事

9月26日開催 FFRI主催ハウスセミナー「未知脅威対策はお済みですか?~エンドポイント多層防御で脅威を「止める」~」

IPA「標的型攻撃メールの傾向と事例分析 <2013年>」

FFRI、標的型攻撃対策ソフトウェアFFR yarai Version 2.5をリリース

ビッグデータ×機械学習×セキュリティ 人知を超えた検出ロジックで未知のマルウェアを検出する第5のエンジン 第5の検知機能「機械学習エンジン」を搭載し、進化したFFR yarai

pagetop