WO2020017000A1

WO2020017000A1 - サイバー攻撃情報分析プログラム、サイバー攻撃情報分析方法および情報処理装置

Info

Publication number: WO2020017000A1
Application number: PCT/JP2018/027140
Authority: WO
Inventors: 谷口　剛
Original assignee: 富士通株式会社
Priority date: 2018-07-19
Filing date: 2018-07-19
Publication date: 2020-01-23
Also published as: EP3826242A1; JPWO2020017000A1; US20210152573A1; EP3826242A4; JP6984754B2; EP3826242B1

Abstract

実施形態のサイバー攻撃情報分析プログラムは、収集する処理と、特定する処理と、決定する処理と、出力する処理とをコンピュータに実行させる。収集する処理は、複数のサイバー攻撃情報を収集する。特定する処理は、収集した複数のサイバー攻撃情報を分析して、複数のサイバー攻撃情報に含まれるサイバー攻撃元の複数のアドレスを特定するとともに、特定した複数のサイバー攻撃元のアドレスそれぞれが観測された期間を特定する。決定する処理は、特定した複数のアドレスに対応する観測された期間の第１の期間分布と、アドレス帯域毎に観測された期間の第２の期間分布を比較した結果に応じて、アドレス帯域、またはアドレス帯域に含まれる一部のアドレスを監視対象として決定する。出力する処理は、決定したアドレス帯域、またはアドレス帯域に含まれる一部のアドレスの情報を出力する。

Description

サイバー攻撃情報分析プログラム、サイバー攻撃情報分析方法および情報処理装置

　本発明の実施形態は、サイバー攻撃情報分析プログラム、サイバー攻撃情報分析方法および情報処理装置に関する。

　近年、ネットワークを経由した不正アクセスなどのサイバー攻撃が深刻な問題となっている。このサイバー攻撃の対処には、日々観測される膨大なサイバー攻撃情報を分析して攻撃元を特定し、攻撃元の監視を行うことが重要である。

　膨大なサイバー攻撃情報から攻撃元を特定する技術としては、攻撃をネットワーク機器が検知した検知時刻および検知時間を含む攻撃が行われた期間において、攻撃元通信装置が同一である複数の被攻撃先通信装置の組み合わせを抽出するものが知られている。

特開２０１５－７６８６３号公報

　しかしながら、サイバー攻撃に用いられるＩＰアドレスなどは、使い捨てＩＰアドレスの割合が極めて高い。このような使い捨てＩＰアドレスについては、分析したとしても労力の無駄となる場合がある。したがって、サイバー攻撃に用いられる多くのＩＰアドレスから分析を行うのに有意なものを特定する作業を要し、日々の多忙な業務の中で作業時間が限られる分析者においては、分析にかかる手間がかかるものであった。

　１つの側面では、サイバー攻撃の分析に有意な情報の特定を支援可能とするサイバー攻撃情報分析プログラム、サイバー攻撃情報分析方法および情報処理装置を提供することを目的とする。

　第１の案では、サイバー攻撃情報分析プログラムは、収集する処理と、特定する処理と、決定する処理と、出力する処理とをコンピュータに実行させる。収集する処理は、複数のサイバー攻撃情報を収集する。特定する処理は、収集した複数のサイバー攻撃情報を分析して、複数のサイバー攻撃情報に含まれるサイバー攻撃元の複数のアドレスを特定するとともに、特定した複数のサイバー攻撃元のアドレスそれぞれが観測された期間を特定する。決定する処理は、特定した複数のアドレスに対応する観測された期間の第１の期間分布と、アドレス帯域毎に観測された期間の第２の期間分布を比較した結果に応じて、アドレス帯域、またはアドレス帯域に含まれる一部のアドレスを監視対象として決定する。出力する処理は、決定したアドレス帯域、またはアドレス帯域に含まれる一部のアドレスの情報を出力する。

　本発明の１実施態様によれば、サイバー攻撃の分析に有意な情報の特定を支援することができる。

図１は、実施形態にかかる情報処理装置の機能構成例を示すブロック図である。図２は、サイバー脅威インテリジェンスを説明する説明図である。図３は、前処理の一例を示すフローチャートである。図４は、要素の抽出例を説明する説明図である。図５－１は、ＩＰアドレス群情報の一例を示す説明図である。図５－２は、サイバー脅威インテリジェンス－ＩＰアドレス群情報の一例を示す説明図である。図６は、生存期間学習処理の一例を示すフローチャートである。図７－１は、ＩＰアドレス群情報の一例を示す説明図である。図７－２は、サイバー脅威インテリジェンス－ＩＰアドレス群情報の一例を示す説明図である。図８は、検出処理の一例を示すフローチャートである。図９は、生存期間情報の一例を示す説明図である。図１０は、出力リストの一例を示す説明図である。図１１－１は、生存期間の分布を説明する説明図である。図１１－２は、生存期間の分布を説明する説明図である。図１２は、実施形態にかかる情報処理装置のハードウエア構成の一例を示すブロック図である。

　以下、図面を参照して、実施形態にかかるサイバー攻撃情報分析プログラム、サイバー攻撃情報分析方法および情報処理装置を説明する。実施形態において同一の機能を有する構成には同一の符号を付し、重複する説明は省略する。なお、以下の実施形態で説明するサイバー攻撃情報分析プログラム、サイバー攻撃情報分析方法および情報処理装置は、一例を示すに過ぎず、実施形態を限定するものではない。また、以下の各実施形態は、矛盾しない範囲内で適宜組みあわせてもよい。

　図１は、実施形態にかかる情報処理装置の機能構成例を示すブロック図である。実施形態にかかる情報処理装置１は、例えば、ＰＣ（パーソナルコンピュータ）などのコンピュータである。

　図１に示すように、情報処理装置１は、サイバー攻撃にかかるキャンペーンの中で処理の対象とする対象キャンペーン１２の入力を受け付ける。次いで、情報処理装置１は、サイバー脅威インテリジェンスＤＢ１０に格納された複数のサイバー脅威インテリジェンスの中で対象キャンペーン１２に該当するサイバー脅威インテリジェンスを収集する。

　なお、キャンペーンとは、同じ攻撃者、同じ攻撃部隊または同じ攻撃作戦による一連のサイバー攻撃の活動（複数のサイバー攻撃の集合体）について付与された呼称である。例えば、ユーザ（分析者）は、対象キャンペーン１２として、分析したいキャンペーンに対応するキャンペーン名やマルウエア名を入力する。また、対象キャンペーン１２については、例えば処理の対象とするキャンペーン名をリストとしてまとめたものを入力してもよい。

　図２は、サイバー脅威インテリジェンスを説明する説明図である。図２に示すように、サイバー脅威インテリジェンス１１では、ＳＴＩＸ（Structured　Threat　Information　eXpression）などの形式でサイバー攻撃の情報が記述される。例えば、ＳＴＩＸは、サイバー攻撃活動（Campaigns）、攻撃者（Threat_Actors）、攻撃手口（TTPs）、検知指標（Indicators）、観測事象（Observables）、インシデント（Incidents）、対処措置（Courses_Of_Action）、攻撃対象（Exploit_Targets）の８つの情報群から構成される。

　すなわち、サイバー脅威インテリジェンス１１は、サイバー攻撃情報の一例である。また、ＳＴＩＸバージョン１．１．１時点では、図２のように、ＸＭＬ（eXtensible　Markup　Language）形式で記述される。

　例えば、「Observables」のタグで囲まれた領域１１ａには、観測されたＩＰ、ｄｏｍａｉｎ、マルウエアのハッシュ値などが記述される。「Indicators」のタグで囲まれた領域１１ｂには、サイバー攻撃イベントを特徴づける指標を示す情報が個別に記述される。具体的には、領域１１ｂでは、検知指標のタイプ、検知指標に関連する観測事象、攻撃段階フェーズ、痕跡などから検知指標を作成するために使用したツールと共に、サイバー攻撃を特徴づける指標について記述される。

　また、「TTPs」のタグで囲まれた領域１１ｃには、利用された攻撃手法、例えばスパムメールやマルウエア、水飲み場攻撃などが記述される。また、「Exploit_Targets」のタグで囲まれた領域１１ｄには、脆弱性、脆弱性の種類、設定や構成などの視点から、攻撃の対象となりうるソフトウェアやシステムの弱点など、サイバー攻撃イベントにおいて攻撃の対象となる資産の弱点を示す情報が個別に記述される。

　また、「Campaigns」のタグで囲まれた領域１１ｅには、一連の攻撃（キャンペーン）につけられる名前などが記述される。すなわち、領域１１ｅには、サイバー攻撃にかかるキャンペーンの情報が記述される。領域１１ｅにおけるキャンペーンの名前を参照することで、サイバー脅威インテリジェンス１１にかかるサイバー攻撃がどのキャンペーンに属するかを識別できる。

　また、「Threat_Actors」のタグで囲まれた領域１１ｆには、サイバー攻撃の攻撃者のタイプ、攻撃者の動機、攻撃者の熟練度、攻撃者の意図などの視点からサイバー攻撃に寄与している人／組織についての情報が個別に記述される。具体的には、領域１１ｆでは、不正アクセス元（攻撃元）のＩＰアドレス、またはメールアドレス、ソーシャルネットワークサービスのアカウントの情報が記述される。

　このように、サイバー脅威インテリジェンス１１の領域１１ａ～１１ｆには、サイバー攻撃にかかるキャンペーンを示すキャンペーンの名前とともに、サイバー攻撃の観測事象（ＩＰ、ｄｏｍａｉｎ、ハッシュ値等）やＴＴＰ等のサイバー攻撃の特徴を示す情報、すなわちサイバー攻撃の特徴情報（検知指標）が記述される。なお、サイバー脅威インテリジェンス１１を共有するためのソースとしては、ＡｌｉｅｎＶａｕｌｔが提供するフリーで利用可能なＯＴＸ（Open　Threat　Exchange）などが存在する。また、サイバー脅威インテリジェンス１１を管理するためのプラットフォームを利用すれば、サイバー脅威インテリジェンス１１の内容を確認する、または、サイバー脅威インテリジェンス１１間の関連を見ることも可能である。

　次いで、情報処理装置１は、収集したサイバー脅威インテリジェンス１１を分析して、対象キャンペーン１２にかかるサイバー攻撃元の複数のアドレス（例えばＩＰアドレス）を特定する。また、情報処理装置１は、収集したサイバー脅威インテリジェンス１１の分析により、特定したアドレスそれぞれが観測された期間（以下、生存期間と呼ぶ）を特定する。

　次いで、情報処理装置１は、特定した複数のアドレスに対応する生存期間の全体分布と、アドレス帯域毎の生存期間の分布とを比較する。次いで、情報処理装置１は、全体分布と、アドレス帯域毎の分布との比較結果に応じて、アドレス帯域、またはアドレス帯域に含まれる一部のアドレスを監視対象として決定する。

　次いで、情報処理装置１は、決定したアドレス帯域、またはアドレス帯域に含まれる一部のアドレスの情報を、例えばリスト形式の出力リスト５１として出力する。例えば、情報処理装置１は、出力リスト５１をモニタ１０３（図１２参照）などに出力する。

　出力された出力リスト５１より、分析者（ユーザ）は、攻撃元のアドレスの生存期間が全体の分布と異なるアドレス帯域、またはアドレス帯域に含まれる一部のアドレスを監視対象として容易に知ることができる。

　次に、情報処理装置１の詳細を説明する。情報処理装置１は、前処理部２０、生存期間学習部３０、検出部４０および出力部５０を有する。

　前処理部２０は、対象キャンペーン１２の入力を受け付け、サイバー脅威インテリジェンスＤＢ１０に格納された複数のサイバー脅威インテリジェンス１１の中で対象キャンペーン１２に該当するサイバー脅威インテリジェンス１１を収集して前処理を行う。すなわち、前処理部２０は、収集部の一例である。

　具体的には、前処理部２０は、サイバー脅威インテリジェンスＤＢ１０に格納された複数のサイバー脅威インテリジェンス１１より対象キャンペーン１２に該当するものを収集して前処理を行い、前処理後のデータをＩＰアドレス群情報２１およびサイバー脅威インテリジェンス－ＩＰアドレス群情報２２に格納する。

　図３は、前処理の一例を示すフローチャートである。図３に示すように、対象キャンペーン１２の入力を受け付けて前処理が開始されると、前処理部２０は、サイバー脅威インテリジェンスＤＢ１０に格納されたサイバー脅威インテリジェンス１１をパース、あるいは自然言語処理して、必要なデータ（要素）を抽出する（Ｓ１０）。

　図４は、要素の抽出例を説明する説明図である。図４に示すように、ＳＴＩＸ形式のサイバー脅威インテリジェンス１１の場合、前処理部２０は、パーサによってＸＭＬ形式で記述されたサイバー脅威インテリジェンス１１の内容をパースする。これにより、前処理部２０は、サイバー脅威インテリジェンス１１に含まれる各要素を抽出する。なお、サイバー脅威インテリジェンス１１が標準規格などで構造化されておらず、テキストによるレポート形式などである場合は、前処理部２０は、既存の自然言語処理ツールを用いて抽出対象の要素を抽出してもよい。

　例えば、前処理部２０は、「ＡｄｄｒｅｓｓＯｂｊ：Ａｄｄｒｅｓｓ＿Ｖａｌｕｅ」というタグで囲まれた部分から、「ＸＸＸ．ＸＸＸ．ＸＸＸ．ＸＸＸ」、「ＹＹＹ．ＹＹＹ．ＹＹＹ．ＹＹＹ」などのＩＰアドレスを抽出する。同様に、前処理部２０は、攻撃手口（TTPｓ）にかかるタグに囲まれた部分からは攻撃手口を抽出する。また、前処理部２０は、対処措置（Courses_Of_Action）にかかるタグに囲まれた部分からは対処措置を抽出する。また、前処理部２０は、攻撃対象（Exploit_Targets）にかかるタグに囲まれた部分から利用する脆弱性を抽出する。また、前処理部２０は、キャンペーンにかかるタグに囲まれた部分からキャンペーンの名称を抽出する。なお、データが存在しない場合には、情報なしという扱いにする。また、サイバー脅威インテリジェンス１１のタイトルが、「あるマルウェアに対するレポート，期間」のように、タイムスタンプ（時間情報）を含む場合にはその時間情報を抽出する。

　次いで、前処理部２０は、サイバー脅威インテリジェンス１１より抽出した要素をもとに、対象キャンペーン１２に対して関連するサイバー脅威インテリジェンス１１であるか否かを判定する（Ｓ１１）。具体的には、前処理部２０は、サイバー脅威インテリジェンス１１より抽出した要素におけるキャンペーン名が対象キャンペーン１２のキャンペーン名に一致するか否かをもとに、対象キャンペーン１２に対するサイバー脅威インテリジェンス１１であるか否かを判定する。

　対象キャンペーン１２に対するサイバー脅威インテリジェンス１１である場合（Ｓ１１：ＹＥＳ）、前処理部２０は、サイバー脅威インテリジェンス１１より抽出した攻撃元を示すＩＰアドレスがＩＰアドレス群情報２１に格納されていなければ格納する。また、前処理部２０は、サイバー脅威インテリジェンス１１を示すＩＤと関連付けてサイバー脅威インテリジェンス１１より抽出したＩＰアドレスをサイバー脅威インテリジェンス－ＩＰアドレス群情報２２に格納する（Ｓ１２）。

　図５－１は、ＩＰアドレス群情報２１の一例を示す説明図である。図５－１に示すように、ＩＰアドレス群情報２１は、「ｘ．ｘ．１．１」などのサイバー脅威インテリジェンス１１より抽出したＩＰアドレスと、ＩＰアドレスに関連する情報（例えば「生存期間」）とを格納するデータテーブルなどである。

　図５－２は、サイバー脅威インテリジェンス－ＩＰアドレス群情報２２の一例を示す説明図である。図５－２に示すように、サイバー脅威インテリジェンス－ＩＰアドレス群情報２２は、サイバー脅威インテリジェンス１１を示すＩＤごとに、サイバー脅威インテリジェンス１１より抽出した攻撃元を示すＩＰアドレスの情報を格納するデータテーブルなどである。例えば、サイバー脅威インテリジェンス－ＩＰアドレス群情報２２には、ＩＤが「１」のサイバー脅威インテリジェンス１１に紐づけて、サイバー脅威インテリジェンス１１より抽出した「ｘ．ｘ．１．１」、「ｙ．ｙ．１０１．１０１」、「ｘ．ｘ．２．２」、「ｘ．ｘ．３．３」などのＩＰアドレスが格納されている。

　なお、対象キャンペーン１２に対するサイバー脅威インテリジェンス１１でない場合（Ｓ１１：ＮＯ）、前処理部２０は、Ｓ１２の処理をスキップしてＳ１３へ進む。

　次いで、前処理部２０は、サイバー脅威インテリジェンスＤＢ１０の中で要素の抽出として未選択のサイバー脅威インテリジェンス１１が存在するか否かを判定する（Ｓ１３）。存在する場合（Ｓ１３：ＹＥＳ）、前処理部２０は、未選択のサイバー脅威インテリジェンス１１を要素の抽出対象として選択し、Ｓ１０へ処理を戻す。存在しない場合（Ｓ１３：ＮＯ）、全てのサイバー脅威インテリジェンス１１について処理が終了したことから、前処理部２０は、前処理を終了する。

　図１に戻り、生存期間学習部３０は、前処理済みのサイバー脅威インテリジェンス－ＩＰアドレス群情報２２及びＩＰアドレス群情報２１をもとに、サイバー攻撃元の複数のアドレス（例えばＩＰアドレス）を特定する。そして、生存期間学習部３０は、生存期間学習処理により、特定したアドレスそれぞれの生存期間を特定し、特定した結果を生存期間情報３２およびＩＰアドレス群情報３１に格納する。すなわち、生存期間学習部３０は、特定部の一例である。

　図６は、生存期間学習処理の一例を示すフローチャートである。図６に示すように、生存期間学習処理が開始されると、生存期間学習部３０は、入力されたＩＰアドレス群情報２１から未選択のＩＰアドレスを選択する（Ｓ２０）。具体的には、生存期間学習部３０は、ＩＰアドレス群情報２１の中から「生存期間」にデータが格納されていないＩＰアドレスを選択する。

　次いで、生存期間学習部３０は、選択したＩＰアドレスのＷＨＯＩＳレコードを参照し、ＩＰアドレスのアドレス帯域であるサブネットのデータを生存期間情報３２に格納する（Ｓ２１）。

　なお、ＩＰアドレス帯域（サブネット）は、幾つかのＩＰアドレスをグループとしてまとめたものであり、例えば「ＡＡＡ．ＡＡＡ．ＡＡＡ．０／２２」等のＣＩＤＲ記法によるアドレスのグループ（ＣＩＤＲブロック）などがある。本実施形態では、ＩＰアドレス帯域（サブネット）としてＣＩＤＲブロックを例示するが、ドメインごとにＩＰアドレスをグループ分けしてもよく、ＣＩＤＲブロックに特に限定するものではない。

　次いで、生存期間学習部３０は、ＩＰアドレス帯域のデータをもとに、ＩＰアドレス群情報２１の未選択のＩＰアドレスの中から選択したＩＰアドレスと同じ帯域内のＩＰアドレスが存在すれば収集する（Ｓ２２）。

　次いで、生存期間学習部３０は、サイバー脅威インテリジェンス－ＩＰアドレス群情報２２を参照し、Ｓ２０で選択したＩＰアドレス、Ｓ２２で収集したそれぞれのＩＰアドレスが出現するサイバー脅威インテリジェンス１１の数を数える。次いで、カウントした数をもとに、生存期間学習部３０は、それぞれのＩＰアドレスにおける生存期間を求め、ＩＰアドレス群情報２１および生存期間情報３２に格納する（Ｓ２３）。

　サイバー脅威インテリジェンス１１は、例えば週報などとして所定の周期で発行される。よって、サイバー脅威インテリジェンス１１に記述されたＩＰアドレスは、そのサイバー脅威インテリジェンス１１における週において攻撃元として生存している（観測された）アドレスということとなる。したがって、生存期間学習部３０は、ＩＰアドレスが出現するサイバー脅威インテリジェンス１１の数を数えることでＩＰアドレスの生存期間（生存週）を求めることができる。

　なお、本実施形態ではＩＰアドレスが存在するサイバー脅威インテリジェンス１１の数がそのＩＰアドレスが生存した週に相当するものとしているが、生存期間の算出は上記の手法に限定しない。例えば日報を前提とする場合は、サイバー脅威インテリジェンス１１の数をカウントすることで、生存日数を生存期間として求めることができる。また、サイバー脅威インテリジェンス１１が日付情報を伴っている場合は、ＩＰアドレスが出現するサイバー脅威インテリジェンス１１を時系列順に並べ、最初（２０１８／１／１）と最後（２０１８／１／３１）の日付情報をもとに、「２０１８／１／１～２０１８／１／３１」のような生存期間を算出してもよい。

　次いで、生存期間学習部３０は、ＩＰアドレス群情報２１の中で未選択のＩＰアドレスが存在するか否かを判定する（Ｓ２４）。存在する場合（Ｓ２４：ＹＥＳ）、生存期間学習部３０は、未選択のＩＰアドレスを選択し、Ｓ２０へ処理を戻す。存在しない場合（Ｓ２４：ＮＯ）、全てのＩＰアドレスについて処理が終了したことから、生存期間学習部３０は、生存期間学習処理を終了する。

　図７－１は、ＩＰアドレス群情報３１の一例を示す説明図である。図７－１に示すように、ＩＰアドレス群情報３１は、ＩＰアドレス群情報２１において各ＩＰアドレスの生存期間の情報を格納したものである。例えば、「ｘ．ｘ．１．１」については、生存期間学習部３０が特定した生存期間「１（週）」が格納されている。

　図７－２は、生存期間情報３２の一例を示す説明図である。生存期間情報３２は、ＩＰアドレス帯域ごとの情報（帯域に含まれるＩＰアドレスおよび生存期間など）を格納するデータテーブルなどである。例えば、生存期間情報３２には、「ｘ．ｘ．０．０／１６」のＩＰアドレス帯域について、生存期間学習部３０が特定したＩＰアドレス「ｘ．ｘ．１．１」、「ｘ．ｘ．２．２」、「ｘ．ｘ．３．３」、「ｘ．ｘ．４．４」…が格納されている。また、各ＩＰアドレスについて、生存期間学習部３０が特定した生存期間が格納されている。例えば、「ｘ．ｘ．１．１」には「１（週）」、「ｘ．ｘ．２．２」には「５０（週）」、「ｘ．ｘ．３．３」には「２５（週）」、「ｘ．ｘ．４．４」には「１（週）」が格納されている。

　図１に戻り、検出部４０は、ＩＰアドレス群情報３１及び生存期間情報３２をもとに検出処理を行い、サイバー攻撃の分析に有意なものとして監視対象とする、アドレス帯域、またはアドレス帯域に含まれる一部のアドレスを検出する。具体的には、検出部４０は、生存期間学習部３０が特定した複数のＩＰアドレスに対応する生存期間の分布と、アドレス帯域毎の生存期間の分布とを比較する。次いで、検出部４０は、分布の比較結果に応じて、アドレス帯域、またはアドレス帯域に含まれる一部のアドレスを監視対象として決定する。すなわち、検出部４０は、決定部の一例である。

　図８は、検出処理の一例を示すフローチャートである。図８に示すように、検出処理が開始されると、検出部４０は、ＩＰアドレス群情報３１を参照してすべてのＩＰアドレスの生存期間を参照し、全体の統計情報を作成する（Ｓ３０）。

　ここで、本実施形態では、使い捨てＩＰアドレスとなっていない長寿命なＩＰアドレスに注目することから、長寿命なＩＰアドレスを識別するための長寿命閾値を求める。例えば、検出部４０は、全体の統計情報から生存期間の上位５％となる生存期間を計算し、計算して得られた値を長寿命閾値とする。

　次いで、検出部４０は、生存期間情報３２から未選択のＩＰアドレス帯域を選択する（Ｓ３１）。次いで、検出部４０は、選択したＩＰアドレス帯域に属するＩＰアドレスの生存期間を生存期間情報３２より参照し、選択したＩＰアドレス帯域についての統計情報を作成する。ここでは、検出部４０は、計算済みの長寿命閾値をもとに、ＩＰアドレス帯域内の長寿命ＩＰアドレスの割合（長寿命率）を以下の式（１）で計算し、計算結果を生存期間情報３２に格納する（Ｓ３２）。

　長寿命率＝（ＩＰアドレス帯域内で長寿命閾値を上回る生存期間を持つＩＰアドレスの数）／（ＩＰアドレス帯域内のＩＰアドレスの数）…（１）

　図９は、生存期間情報３２の一例を示す説明図であり、より具体的には、長寿命率の計算結果を格納した生存期間情報３２の一例を示す図である。図９に示すように、生存期間情報３２には、各ＩＰアドレス帯域について、式（１）により計算した長寿命ＩＰアドレスの割合（長寿命率）が格納される。

　次いで、検出部４０は、生存期間情報３２の中で未選択のＩＰアドレス帯域が存在するか否かを判定する（Ｓ３３）。存在する場合（Ｓ３３：ＹＥＳ）、検出部４０は、未選択のＩＰアドレス帯域を選択し、Ｓ３１へ処理を戻す。存在しない場合（Ｓ３３：ＮＯ）、検出部４０はＳ３４へ処理を進める。

　Ｓ３４において、検出部４０は、生存期間情報３２における各ＩＰアドレス帯域の長寿命率をもとに、監視対象とするＩＰアドレス帯域と、帯域内の長寿命なＩＰアドレスとを出力リスト５１に登録する。具体的には、検出部４０は、長寿命率が所定の閾値を超えるＩＰアドレス帯域と、長寿命閾値を上回るＩＰアドレス（長寿命ＩＰアドレスと呼ぶ）監視対象として出力リスト５１に登録し（Ｓ３４）、処理を終了する。

　この閾値は、全体分布については５％を基準に長寿命閾値を設定したので、例えば５％よりも高くなるように設定する。これにより、検出部４０は、全体の生存期間の分布と比較して、長寿命比率が高いＩＰアドレス帯域と、そのＩＰアドレス帯域における長寿命ＩＰアドレスとを得ることができる。

　なお、本実施形態では、統計情報として分布における上位５％値をもとにした長寿命閾値を計算し、ＩＰアドレス帯域の長寿命比率が５％を超える閾値によって、全体分布と、ＩＰアドレス帯域毎の分布との比較をおこなった。そして、全体分布に対して長寿命比率が５％を超えるＩＰアドレス帯域と、そのＩＰアドレス帯域における長寿命ＩＰアドレスを監視対象とした。しかしながら、分布の比較を行う統計情報は、別のものを用いても構わない。例えば、生存期間の平均を計算し、全体の平均と、ＩＰアドレス帯域における平均との違いをもとに、監視対象とするＩＰアドレス帯域と、そのＩＰアドレス帯域におけるＩＰアドレスとを求めてもよい。

　図１に戻り、出力部５０は、検出部４０における検出結果（出力リスト５１）を、ディスプレイへの表示やファイルなどに出力する。

　図１０は、出力リスト５１の一例を示す説明図である。図１０に示すように、出力リスト５１は、監視対象とするＩＰアドレス帯域とその帯域の長寿命率、および、帯域内の長寿命ＩＰアドレスとその生存期間を有する。例えば、出力リスト５１には、監視対象とする「ｘ．ｘ．０．０／１６」のＩＰアドレス帯域について、「７２％」の長寿命率が格納されている。また、「ｘ．ｘ．０．０／１６」のＩＰアドレス帯域内の長寿命ＩＰアドレスおよび生存期間が格納されている。例えば、「ｘ．ｘ．２．２」には「５０（週）」、「ｘ．ｘ．２０．２０」には「４０（週）」、「ｘ．ｘ．３０．３０」には「３０（週）」が格納されている。

　この出力リスト５１より、ユーザは、攻撃元のアドレスの生存期間が全体の分布と異なるＩＰアドレス帯域、またはアドレス帯域に含まれる長寿命ＩＰアドレスを監視対象として容易に知ることができる。

　図１１－１、図１１－２は、生存期間の分布を説明する説明図である。

　図１１－１に示すグラフＧ１０は、ボットネットに対するサイバー脅威インテリジェンス１１の全てのＩＰに対するヒストグラムである。グラフＧ１０では、９０％以上のＩＰが２週以内にサイバー脅威インテリジェンス１１から消滅している。つまり，サイバー脅威インテリジェンス１１の全体で見ると、大半は使い捨てＩＰアドレスである。

　図１１－１に示すグラフＧ１１は、ＩＰアドレス帯域が「ｘ．ｘ．０．０／１６」のＩＰに対するヒストグラムである。また、グラフＧ１２は、ＩＰアドレス帯域が「ｙ．ｙ．０．０／１６」のＩＰに対するヒストグラムである。本実施形態では、全体分布とＩＰアドレス帯域の分布との比較により、分布の異なる「ｘ．ｘ．０．０／１６」が監視対象とされる。

　したがって、グラフＧ１１に示すようなヒストグラムの「ｘ．ｘ．０．０／１６」を監視対象とすることで、長寿命比率が全体よりも高くなる。この例では、分布における上位５％値との兼ね合いで生存期間が３週以上であれば長寿命ＩＰとなるので、「ｘ．ｘ．０．０／１６」の長寿命率は大幅に高くなっている。このようなＩＰアドレス帯域は、攻撃者がそれぞれのＩＰアドレスを長く使っていることを意味するので、他の帯域と比較して攻撃者の意図が反映される可能性が高い。したがって、長寿命率が高いグラフＧ１１のような「ｘ．ｘ．０．０／１６」を監視対象とするとすることで、サイバー攻撃を効率よく分析できる。

　図１１－２に示すグラフＧ２０は、ダウンローダに対するサイバー脅威インテリジェンス１１の全てのＩＰに対するヒストグラムである。グラフＧ２１は、ＩＰアドレス帯域が「ａ．ａ．０．０／１６」のＩＰに対するヒストグラムである。また、グラフＧ２２は、ＩＰアドレス帯域が「ｂ．ｂ．０．０／１６」のＩＰに対するヒストグラムである。ダウンローダでは、４割近くが１２週以上の生存期間であり、どのＩＰアドレス帯域においても大半がある程度の期間利用される。したがって、使い捨てＩＰアドレスの比率はそれほど高くなく、ボットネットの長寿命ＩＰアドレスと比較して、長く利用されるＩＰアドレスの価値は比較的高くない。

（変形例）
　なお、生存期間学習部３０は、ＤＮＳ（Domain　Name　System）を管理する所定の情報処理サーバへアクセスし、特定した複数のサイバー攻撃元のアドレスの少なくとも一部のアドレスに対応するドメインを特定してもよい。

　また、出力部５０は、生存期間学習部３０がドメインを特定した時刻、またはＤＮＳにアクセスした時刻とは異なる時刻にＤＮＳに再度アクセスすることによって特定したドメインに対応するアドレスが前とは異なるか否かを判定する。次いで、出力部５０は、特定したドメインに対応するアドレスが前とは異なる場合、新たに特定したアドレスの情報を出力リスト５１に含めて出力する。

　このように、情報処理装置１は、サイバー攻撃元のアドレスに対応するドメインを特定し、そのドメインに対応するアドレスを追跡するようにしてもよい。これにより、ユーザは、サイバー脅威インテリジェンス１１より特定した複数のサイバー攻撃元のアドレスに対応するドメインについて、前回のアドレスとは異なる、ドメインに関連づいた別のＩＰアドレスを容易に追跡できる。

　以上のように、情報処理装置１は、前処理部２０と、生存期間学習部３０と、検出部４０と、出力部５０とを有する。前処理部２０は、複数のサイバー脅威インテリジェンス１１を収集する。生存期間学習部３０は、収集した複数のサイバー脅威インテリジェンス１１を分析して、複数のサイバー脅威インテリジェンス１１に含まれるサイバー攻撃元の複数のアドレスを特定する。また、生存期間学習部３０は、特定した複数のサイバー攻撃元のアドレスそれぞれが観測された期間（生存期間）を特定する。検出部４０は、特定した複数のアドレスに対応する生存期間の分布と、アドレス帯域毎の生存期間の分布を比較する。次いで、検出部４０は、分布を比較した結果に応じて、アドレス帯域、またはアドレス帯域に含まれる一部のアドレスを監視対象として決定する。出力部５０は、検出部４０が決定したアドレス帯域、またはアドレス帯域に含まれる一部のアドレスの情報を出力する。

　これにより、ユーザは、複数のサイバー攻撃元のアドレスそれぞれの生存期間の分布と、アドレス帯域毎の生存期間の分布とが異なるアドレス帯域、またはアドレス帯域に含まれる一部のアドレスを監視対象として容易に知ることができる。この監視対象は、生存期間の分布が例えば使い捨てＩＰアドレスの割合が極めて高い全体分布とは異なり、攻撃者が意図をもって利用している可能性が高い。したがって、ユーザは、サイバー攻撃の分析に有意な監視対象を容易に知ることができる。

　また、生存期間学習部３０は、所定の情報処理サーバ（ＤＮＳ）へアクセスして、特定した複数のサイバー攻撃元のアドレスの少なくとも一部のアドレスに対応するドメインを特定する。出力部５０は、ドメインを特定した時刻、またはＤＮＳにアクセスした時刻とは異なる時刻にＤＮＳに再度アクセスすることによって特定したドメインに対応するアドレスが前とは異なる場合、新たに特定したアドレスの情報を出力する。これにより、ユーザは、サイバー脅威インテリジェンス１１より特定した複数のサイバー攻撃元のアドレスに対応するドメインについて、前回のアドレスとは異なる、ドメインに関連づいた別のＩＰアドレスを追跡することができ、分析の質を高めることが可能となる。

　また、検出部４０は、特定した複数のアドレスに対応する生存期間の分布よりも、アドレス帯域毎の生存期間の分布の方が、所定の閾値より長い期間観測されたアドレス（長寿命アドレス）の割合が多いか否かを判定する。次いで、検出部４０は、割合が多いと判定したアドレス帯域、またはアドレス帯域に含まれる一部のアドレスを監視対象として決定する。これにより、ユーザは、長寿命アドレスの割合が多いアドレス帯域、またはアドレス帯域に含まれる一部のアドレスを監視対象として容易に知ることができる。

　また、検出部４０は、アドレス帯域に含まれるアドレスの中で所定の閾値より長い期間観測されたアドレス（長寿命アドレス）を監視対象として決定する。これにより、ユーザは、長寿命アドレスを監視対象として容易に知ることができる。

　また、前処理部２０が対象キャンペーン１２などの所定のキャンペーンにかかるサイバー脅威インテリジェンス１１をサイバー脅威インテリジェンスＤＢ１０より収集することで、ユーザは、所定のキャンペーンにかかるアドレス帯域、またはアドレス帯域に含まれる一部のアドレスを容易に知ることができる。

　また、生存期間学習部３０は、特定した複数のサイバー攻撃元のアドレスそれぞれが含まれるサイバー脅威インテリジェンス１１を時系列順にカウントして生存期間を特定する。これにより、情報処理装置１は、週報または月報などの定期的に発行されるサイバー脅威インテリジェンス１１より、サイバー攻撃元のアドレスが掲載されたサイバー脅威インテリジェンス１１の数をカウントし、生存期間の特定を容易に行うことができる。

　なお、図示した各装置の各構成要素は、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。

　また、情報処理装置１で行われる各種処理機能は、ＣＰＵ（またはＭＰＵ、ＭＣＵ（Micro　Controller　Unit）等のマイクロ・コンピュータ）上で、その全部または任意の一部を実行するようにしてもよい。また、各種処理機能は、ＣＰＵ（またはＭＰＵ、ＭＣＵ等のマイクロ・コンピュータ）で解析実行されるプログラム上、またはワイヤードロジックによるハードウエア上で、その全部または任意の一部を実行するようにしてもよいことは言うまでもない。また、情報処理装置１で行われる各種処理機能は、クラウドコンピューティングにより、複数のコンピュータが協働して実行してもよい。

　ところで、上記の実施形態で説明した各種の処理は、予め用意されたプログラムをコンピュータで実行することで実現できる。そこで、以下では、上記の実施形態と同様の機能を有するプログラムを実行するコンピュータ（ハードウエア）の一例を説明する。図１２は、実施形態にかかる情報処理装置１のハードウエア構成の一例を示すブロック図である。

　図１２に示すように、情報処理装置１は、各種演算処理を実行するＣＰＵ１０１と、データ入力を受け付ける入力装置１０２と、モニタ１０３と、スピーカ１０４とを有する。また、情報処理装置１は、記憶媒体からプログラム等を読み取る媒体読取装置１０５と、各種装置と接続するためのインタフェース装置１０６と、有線または無線により外部機器と通信接続するための通信装置１０７とを有する。また、情報処理装置１は、各種情報を一時記憶するＲＡＭ１０８と、ハードディスク装置１０９とを有する。また、情報処理装置１内の各部（５０１～５０９）は、バス１１０に接続される。

　ハードディスク装置１０９には、上記の実施形態で説明した前処理部２０、生存期間学習部３０、検出部４０および出力部５０等における各種の処理を実行するためのプログラム１１１が記憶される。また、ハードディスク装置１０９には、プログラム１１１が参照する各種データ１１２が記憶される。入力装置１０２は、例えば、操作者から操作情報の入力を受け付ける。モニタ１０３は、例えば、操作者が操作する各種画面を表示する。インタフェース装置１０６は、例えば印刷装置等が接続される。通信装置１０７は、ＬＡＮ（Local　Area　Network）等の通信ネットワークと接続され、通信ネットワークを介した外部機器との間で各種情報をやりとりする。

　ＣＰＵ１０１は、ハードディスク装置１０９に記憶されたプログラム１１１を読み出して、ＲＡＭ１０８に展開して実行することで、前処理部２０、生存期間学習部３０、検出部４０および出力部５０等にかかる各種の処理を行う。なお、プログラム１１１は、ハードディスク装置１０９に記憶されていなくてもよい。例えば、情報処理装置１が読み取り可能な記憶媒体に記憶されたプログラム１１１を読み出して実行するようにしてもよい。情報処理装置１が読み取り可能な記憶媒体は、例えば、ＣＤ－ＲＯＭやＤＶＤディスク、ＵＳＢ（Universal　Serial　Bus）メモリ等の可搬型記録媒体、フラッシュメモリ等の半導体メモリ、ハードディスクドライブ等が対応する。また、公衆回線、インターネット、ＬＡＮ等に接続された装置にこのプログラム１１１を記憶させておき、情報処理装置１がこれらからプログラム１１１を読み出して実行するようにしてもよい。

１…情報処理装置
１０…サイバー脅威インテリジェンスＤＢ
１１…サイバー脅威インテリジェンス
１１ａ～１１ｆ…領域
１２…対象キャンペーン
２０…前処理部
２１…ＩＰアドレス群情報
２２…サイバー脅威インテリジェンス－ＩＰアドレス群情報
３０…生存期間学習部
３１…ＩＰアドレス群情報
３２…生存期間情報
４０…検出部
５０…出力部
５１…出力リスト
１０１…ＣＰＵ
１０２…入力装置
１０３…モニタ
１０４…スピーカ
１０５…媒体読取装置
１０６…インタフェース装置
１０７…通信装置
１０８…ＲＡＭ
１０９…ハードディスク装置
１１０…バス
１１１…プログラム
１１２…各種データ
Ｇ１０～Ｇ２２…グラフ

Claims

　複数のサイバー攻撃情報を収集し、
　収集した前記複数のサイバー攻撃情報を分析して、前記複数のサイバー攻撃情報に含まれるサイバー攻撃元の複数のアドレスを特定するとともに、特定した前記複数のサイバー攻撃元のアドレスそれぞれが観測された期間を特定し、
　特定した前記複数のアドレスに対応する観測された期間の第１の期間分布と、アドレス帯域毎に観測された期間の第２の期間分布を比較した結果に応じて、アドレス帯域、または前記アドレス帯域に含まれる一部のアドレスを監視対象として決定し、
　決定した前記アドレス帯域、または前記アドレス帯域に含まれる一部のアドレスの情報を出力する、
　処理をコンピュータに実行させることを特徴とするサイバー攻撃情報分析プログラム。
　前記特定する処理は、所定の情報処理サーバへアクセスして、特定した前記複数のサイバー攻撃元のアドレスの少なくとも一部のアドレスに対応するドメインを特定し、
　前記出力する処理は、前記ドメインを特定した時刻、または前記情報処理サーバにアクセスした時刻とは異なる時刻に前記情報処理サーバに再度アクセスすることによって特定した前記ドメインに対応するアドレスが前記アドレスと異なる場合には、新たに特定した前記アドレスの情報も出力する、
　ことを特徴とする請求項１に記載のサイバー攻撃情報分析プログラム。
　前記決定する処理は、前記第１の期間分布と前記第２の期間分布を比較して、前記第１の期間分布よりも前記第２の期間分布のほうが、所定の閾値より長い期間観測されたアドレスの割合が多い場合に、前記第２の期間分布に対応するアドレス帯域、または前記アドレス帯域に含まれる一部のアドレスを監視対象として決定する、
　ことを特徴とする請求項１に記載のサイバー攻撃情報分析プログラム。
　前記決定する処理は、前記アドレス帯域に含まれるアドレスの中で所定の閾値より長い期間観測されたアドレスを監視対象として決定する、
　ことを特徴とする請求項１に記載のサイバー攻撃情報分析プログラム。
　前記収集する処理は、所定のキャンペーンにかかるサイバー攻撃情報を収集する、
　ことを特徴とする請求項１に記載のサイバー攻撃情報分析プログラム。
　前記特定する処理は、所定の周期で発行されるサイバー攻撃情報の中から、特定した前記複数のサイバー攻撃元のアドレスそれぞれが含まれるサイバー攻撃情報をカウントして前記観測された期間を特定する、
　ことを特徴とする請求項１に記載のサイバー攻撃情報分析プログラム。
　複数のサイバー攻撃情報を収集し、
　収集した前記複数のサイバー攻撃情報を分析して、前記複数のサイバー攻撃情報に含まれるサイバー攻撃元の複数のアドレスを特定するとともに、特定した前記複数のサイバー攻撃元のアドレスそれぞれが観測された期間を特定し、
　特定した前記複数のアドレスに対応する観測された期間の第１の期間分布と、アドレス帯域毎に観測された期間の第２の期間分布を比較した結果に応じて、アドレス帯域、または前記アドレス帯域に含まれる一部のアドレスを監視対象として決定し、
　決定した前記アドレス帯域、または前記アドレス帯域に含まれる一部のアドレスの情報を出力する、
　処理をコンピュータが実行することを特徴とするサイバー攻撃情報分析方法。
　前記特定する処理は、所定の情報処理サーバへアクセスして、特定した前記複数のサイバー攻撃元のアドレスの少なくとも一部のアドレスに対応するドメインを特定し、
　前記出力する処理は、前記ドメインを特定した時刻、または前記情報処理サーバにアクセスした時刻とは異なる時刻に前記情報処理サーバに再度アクセスすることによって特定した前記ドメインに対応するアドレスが前記アドレスと異なる場合には、新たに特定した前記アドレスの情報も出力する、
　ことを特徴とする請求項７に記載のサイバー攻撃情報分析方法。
　前記決定する処理は、前記第１の期間分布と前記第２の期間分布を比較して、前記第１の期間分布よりも前記第２の期間分布のほうが、所定の閾値より長い期間観測されたアドレスの割合が多い場合に、前記第２の期間分布に対応するアドレス帯域、または前記アドレス帯域に含まれる一部のアドレスを監視対象として決定する、
　ことを特徴とする請求項７に記載のサイバー攻撃情報分析方法。
　前記決定する処理は、前記アドレス帯域に含まれるアドレスの中で所定の閾値より長い期間観測されたアドレスを監視対象として決定する、
　ことを特徴とする請求項７に記載のサイバー攻撃情報分析方法。
　前記収集する処理は、所定のキャンペーンにかかるサイバー攻撃情報を収集する、
　ことを特徴とする請求項７に記載のサイバー攻撃情報分析方法。
　前記特定する処理は、特定した前記複数のサイバー攻撃元のアドレスそれぞれが含まれるサイバー攻撃情報を時系列順にカウントして前記観測された期間を特定する、
　ことを特徴とする請求項７に記載のサイバー攻撃情報分析方法。
　複数のサイバー攻撃情報を収集する収集部と、
　収集した前記複数のサイバー攻撃情報を分析して、前記複数のサイバー攻撃情報に含まれるサイバー攻撃元の複数のアドレスを特定するとともに、特定した前記複数のサイバー攻撃元のアドレスそれぞれが観測された期間を特定する特定部と、
　特定した前記複数のアドレスに対応する観測された期間の第１の期間分布と、アドレス帯域毎に観測された期間の第２の期間分布を比較した結果に応じて、アドレス帯域、または前記アドレス帯域に含まれる一部のアドレスを監視対象として決定する決定部と、
　決定した前記アドレス帯域、または前記アドレス帯域に含まれる一部のアドレスの情報を出力する出力部と、
　を有することを特徴とする情報処理装置。
　前記特定部は、所定の情報処理サーバへアクセスして、特定した前記複数のサイバー攻撃元のアドレスの少なくとも一部のアドレスに対応するドメインを特定し、
　前記出力部は、前記ドメインを特定した時刻、または前記情報処理サーバにアクセスした時刻とは異なる時刻に前記情報処理サーバに再度アクセスすることによって特定した前記ドメインに対応するアドレスが前記アドレスと異なる場合には、新たに特定した前記アドレスの情報も出力する、
　ことを特徴とする請求項１３に記載の情報処理装置。
　前記決定部は、前記第１の期間分布と前記第２の期間分布を比較して、前記第１の期間分布よりも前記第２の期間分布のほうが、所定の閾値より長い期間観測されたアドレスの割合が多い場合に、前記第２の期間分布に対応するアドレス帯域、または前記アドレス帯域に含まれる一部のアドレスを監視対象として決定する、
　ことを特徴とする請求項１３に記載の情報処理装置。
　前記決定部は、前記アドレス帯域に含まれるアドレスの中で所定の閾値より長い期間観測されたアドレスを監視対象として決定する、
　ことを特徴とする請求項１３に記載の情報処理装置。
　前記収集部は、所定のキャンペーンにかかるサイバー攻撃情報を収集する、
　ことを特徴とする請求項１３に記載の情報処理装置。
　前記特定部は、特定した前記複数のサイバー攻撃元のアドレスそれぞれが含まれるサイバー攻撃情報を時系列順にカウントして前記観測された期間を特定する、
　ことを特徴とする請求項１３に記載の情報処理装置。