日立製作所と慶応義塾大学、中部電力の3者は2019年6月18日、複数組織のインターネットアクセス記録を分析することでサイバー攻撃の予兆を検知する新技術を開発したと発表した。不特定多数の組織を狙うサイバー攻撃の予兆を事前に察知して対策するのに役立てる。日立は2020年ごろに新技術の事業化を目指す。

日立製作所が開発したダークネット通信分析に関する新技術の概要
(出所:日立製作所)

 日立らは新技術の開発に当たり、通常業務には使われない「ダークネット通信」に着目した。ダークネット通信とは企業や組織が保有するIPアドレスのうち、特定のコンピューターに割り当てられておらず利用されていないIPアドレスに対する通信のこと。サイバー攻撃者が事前に攻撃対象を探索するために使われることがある。

 従来はダークネット通信分析をするとしても1組織だけの通信を対象にすることが多かった。「不審な通信が急増している」といった顕著な変化は検知できるものの、標的型攻撃のように通信量に変化が表れにくいサイバー攻撃は検知するのが難しかった。

 そこで日立は慶応大と中部電力から両者に対する膨大なダークネット通信記録の提供を受けた。記録の件数は2者の合計で1日当たり約2000万件に上る。2者の1カ月分のダークネット通信記録を相関分析し、共通のIPアドレスからサイバー攻撃につながる不審な通信がある事実を検知することに成功した。

日立製作所研究開発グループの重本倫宏主任研究員
[画像のクリックで拡大表示]

 日立研究開発グループの重本倫宏主任研究員は「複数の組織の通信記録を分析することで、これまで検知しづらかった巧妙な標的型攻撃の予兆を早期に検知し、対策を講じやすくなる」と説明した。