データやリソースを盗む攻撃への新たな対策を考案、ミズーリ大：攻撃者をシステムの隔離領域に誘導

米国ミズーリ大学工学部などの研究チームが、データ窃盗（APT）やリソース窃盗（APM）といった標的型攻撃に対抗する新手法を考案した。APTへの対応とAPMへの対応はほぼ正反対になっている。

[＠IT]

プラサド・カリヤム氏

　米国ミズーリ大学工学部などの研究チームが、標的型サイバー攻撃からデータやリソースを保護する新手法「defense using pretense」を考案した。攻撃者のリソースをシステムの隔離領域に誘導し、防御策を強化する時間を稼いだり、攻撃者にリソースを悪用されにくくしたりするというものだ。

　ミズーリ大学工学部の電気工学コンピュータサイエンスの准教授で、サイバー教育研究イニシアチブ（CERI）のディレクターを務めるプラサド・カリヤム氏を中心とした研究チームが新手法を考案した。

　データ窃盗のための「APT」（Advanced Persistent Threat）と、リソース窃盗のための「APM」（Advanced Persistent Mining）という2つの主要なタイプの攻撃への対策として、機械学習などの人工知能（AI）技術と心理学の原理を利用した。

攻撃者を惑わして攻撃をかわす手法とは？

　APTは、データの可用性や完全性、機密性を損なう攻撃だ。APMはクリプトジャッキング攻撃とも呼ばれる攻撃だ。ビットコインのマイニングなど、多大なコストがかかる作業のために、標的システムのリソースを不正に利用するというものだ。

　研究チームが考案したAPT対策の新手法では、攻撃を検知すると、攻撃者にダミーの標的を与え、攻撃者のリソースをシステムの隔離領域に誘導し、攻撃が成功していると思い込ませる。そうすることで、価値あるデータやリソースの防御策を強化する時間を稼ぎ、これらの資産を狙った激しい攻撃を回避することが可能になる。

　一方、APMでは通常、攻撃者は複数システムのノードを攻撃し、クリプトジャッキングのためのリソースプールを構築する。APM対策の新手法では、攻撃されているノードに人工的なトラフィックや負荷を追加する。これにより、攻撃を察知していることを攻撃者には気付かれずに、それらのノードをリソースとして使いにくくする。このようにして、攻撃者がそれらのノードをクリプトジャッキングプールから除外するように仕向ける狙いだ。

　研究チームが新手法についてまとめた論文は先ごろ、「Future Generation Computer Systems」誌で発表された。