WO2023032015A1

WO2023032015A1 - 攻撃分析支援装置、攻撃分析支援方法、およびコンピュータ読み取り可能な記録媒体

Info

Publication number: WO2023032015A1
Application number: PCT/JP2021/031803
Authority: WO
Inventors: 佑典高橋
Original assignee: 日本電気株式会社
Priority date: 2021-08-30
Filing date: 2021-08-30
Publication date: 2023-03-09
Also published as: JPWO2023032015A1

Abstract

攻撃分析支援装置１０は、複数の標的型攻撃それぞれの情報から、設定された指針に関連し、且つ、比較対象となる比較情報を抽出する、比較情報抽出部１１と、複数の標的型攻撃それぞれの情報から抽出された比較情報を入力として、複数の標的型攻撃それぞれ間の類似度を算出する、類似度算出部１２と、を備えている。

Description

攻撃分析支援装置、攻撃分析支援方法、およびコンピュータ読み取り可能な記録媒体

　本開示は、サイバー攻撃の分析を支援するための、分析支援装置及び攻撃分析支援方法に関し、更には、これらを実現するためのプログラムを記録したコンピュータ読み取り可能な記録媒体に関する。

　近年、企業、官庁、組織等を標的とするサイバー攻撃として、標的型攻撃が増加している。標的型攻撃では、標的のシステムに不正に侵入して、データの搾取、破壊、改竄等が実行される。このような標的型攻撃に対応するためには、システムの管理者は、攻撃の手口等を分析しておくことが重要である。このため、特許文献１は、標的型攻撃の分析を支援する装置を開示している。

　特許文献１に開示された装置は、システムにおいてマルウェアが検出されると、攻撃者、攻撃手口、検知指標、観測事象、インシデント、及び対処措置といった情報を登録し、更に登録した情報を表示する。また、特許文献１に開示された装置は、情報を、種別毎に階層化して表示する。

特開２０１８－３２３５５号公報

　ところで、特許文献１は、上述したように、標的型攻撃についての情報を分類して提示することができるが、標的型攻撃への対応は、これだけでは不十分である。標的型攻撃に対応するためには、システムの管理者は、分析結果を利用して、実際の標的型攻撃に類似した攻撃を想定し、想定した攻撃を用いて演習を行う必要がある。

　本開示の目的の一例は、標的型攻撃の類似性を定量的に提示し得る、攻撃分析支援装置、攻撃分析支援方法、およびコンピュータ読み取り可能な記録媒体を提供することにある。

　上記目的を達成するため、本開示の一側面における攻撃分析支援装置は、
　複数の標的型攻撃それぞれの情報から、設定された指針に関連し、且つ、比較対象となる比較情報を抽出する、比較情報抽出部と、
　前記複数の標的型攻撃それぞれの情報から抽出された前記比較情報を入力として、前記複数の標的型攻撃それぞれ間の類似度を算出する、類似度算出部と、
を備えている、
ことを特徴とする。

　また、上記目的を達成するため、本開示の一側面における攻撃分析支援方法は、
　複数の標的型攻撃それぞれの情報から、設定された指針に関連し、且つ、比較対象となる比較情報を抽出する、比較情報抽出ステップと、
　前記複数の標的型攻撃それぞれの情報から抽出された前記比較情報を入力として、前記複数の標的型攻撃それぞれ間の類似度を算出する、類似度算出ステップと、
を有する、ことを特徴とする。

　更に、上記目的を達成するため、本開示の一側面におけるコンピュータ読み取り可能な記録媒体は、コンピュータに、
　複数の標的型攻撃それぞれの情報から、設定された指針に関連し、且つ、比較対象となる比較情報を抽出する、比較情報抽出ステップと、
　前記複数の標的型攻撃それぞれの情報から抽出された前記比較情報を入力として、前記複数の標的型攻撃それぞれ間の類似度を算出する、類似度算出ステップと、
を実行させる命令を含む、プログラムを記録している、
ことを特徴とする。

　以上のように本開示によれば、標的型攻撃の類似性を定量的に提示することができる。

図１は、実施の形態における攻撃分析支援装置の概略構成を示す構成図である。図２は、実施の形態における攻撃分析支援装置の構成を具体的に示す構成図である。図３は、攻撃情報の一例を示す図である。図４は、指針が標的型攻撃で実行された機能である場合の比較情報及び類似度の算出手法の一例を示す図である。図５は、指針が標的型攻撃の実行されたタイミングである場合の比較情報及び類似度の算出手法の一例を示す図である。図６は、指針が標的型攻撃の実行の成否である場合の比較情報及び類似度の算出手法の一例を示す図である。図７は、実施の形態における攻撃分析支援装置の動作を示すフロー図である。図８は、実施の形態における攻撃分析支援装置の応用例を示す構成図である。図９は、応用例においてデータベースに登録されている戦術情報の一例を示す図である。図１０は、応用例においてデータベースに登録されている技術情報の一例を示す図である。図１１は、応用例においてデータベースに登録されているソフトウェア情報の一例を示す図である。図１２は、実施の形態における攻撃分析支援装置１０を実現するコンピュータの一例を示すブロック図である。

（実施の形態）
　以下、実施の形態における、攻撃分析支援装置について、図１～図１２を参照しながら説明する。

［装置構成］
　最初に、実施の形態における攻撃分析支援装置の概略構成について図１を用いて説明する。図１は、実施の形態における攻撃分析支援装置の概略構成を示す構成図である。

　図１に示す、実施の形態における攻撃分析支援装置１０は、サイバー攻撃の分析を支援するための装置である。図１に示すように、攻撃分析支援装置１０は、比較情報抽出部１１と、類似度算出部１２とを備えている。

　比較情報抽出部１１は、複数の標的型攻撃それぞれの情報から、設定された指針に関連し、且つ、比較対象となる比較情報を抽出する。類似度算出部１２は、複数の標的型攻撃それぞれの情報から抽出された比較情報を入力として、複数の標的型攻撃それぞれ間の類似度を算出する。

　このように、攻撃分析支援装置１０は、複数の標的型攻撃について、それぞれ間の類似度を算出することができる。つまり、攻撃分析支援装置１０によれば、標的型攻撃の類似性を定量的に提示することができる。

　続いて、図２～図６を用いて、実施の形態における攻撃分析支援装置１０の構成及び機能について具体的に説明する。図２は、実施の形態における攻撃分析支援装置の構成を具体的に示す構成図である。

　図２に示すように、実施の形態では、攻撃分析支援装置１０は、上述した比較情報抽出部１１及び類似度算出部１２に加えて、入力受付部１３と、指針設定部１４と、攻撃情報格納部１５とを備えている。また、攻撃分析支援装置１０は、ネットワークを介して、管理装置２０及び端末装置３０にデータ通信可能に接続されている。

　管理装置２０は、標的型攻撃の情報（以下「攻撃情報」と表記する）を管理している。管理装置２０は、管理している攻撃情報を、攻撃分析支援装置１０に入力する。また、管理装置２０によって管理されている攻撃情報には、実際の標的型攻撃の攻撃情報だけでなく、ユーザが想定した仮想の標的型攻撃の攻撃情報が含まれていても良い。この場合、ユーザは、実際の標的型攻撃と、それに基づいて想定した仮想の標的型攻撃とが、どの程度類似しているかを確認することができる。

　端末装置３０は、ユーザの使用する端末装置である。端末装置３０は、ユーザが攻撃分析の指針を選択すると、選択した指針を、攻撃分析支援装置１０に入力する。また、端末装置３０は、攻撃分析支援装置１０において、ユーザが選択した指針に基づいて類似度の算出が行われると、その算出結果を受け取る。

　入力受付部１３は、管理装置２０から、攻撃情報の入力を受け付け、受け付けた攻撃情報を攻撃情報格納部１５に格納する。実施の形態において、攻撃情報としては、標的型攻撃において実行された機能を時系列に沿って定義する攻撃手順に関する情報、及び標的型攻撃の実行に関する情報等が挙げられる。

　図３は、攻撃情報の一例を示す図である。図３の例では、攻撃情報は、上述した標的型攻撃において実行された機能を時系列に沿って定義する攻撃手順（以下「攻撃シナリオ」とも表記する。）と、標的型攻撃の実行に関する情報とを、含む。また、攻撃情報は、攻撃毎（攻撃１、攻撃２，・・・）に管理されている。

　具体的には、攻撃シナリオは、図３に示すように、標的型攻撃を構成する工程（#=1,2, ...）毎の、標的型攻撃で実行された機能（A, B, C, D, E…）によって構成されている。機能は、標的型攻撃で用いられた攻撃手法を意味しており、各工程における戦術（TA₁,TA₂,TA₃, ...）と、各工程で利用される技術（TE₁,TE₂,TE₃, ...）と、工程での処理の実行に必要なソフトウェア（S₁,S₂,S₃, ...）と、を含む。

　戦術としては、例えば、「Collection」、「Discovery」、「Lateral Movement」等が挙げられる。技術としては、「Data from local System」、「Bypass user Account Control」、「Remote System Discovery」等が挙げられる。ソフトウェアとしては、「copy」、「nmap」等が挙げられる。なお、「copy」は「Data from local System」に対応するソフトウェアであり、「nmap」は「Remote System Discovery」に対応するソフトウェアである。

　また、図３の例において標的型攻撃の実行に関する情報は、各機能（攻撃手法）の実行結果と、実行された日時とを含む。実行結果は、機能の実行が成功した場合を○、機能の実行が成功しなかった場合を×として示されている。

　また、入力受付部１３は、端末装置３０においてユーザが選択した指針が入力されると、端末装置３０からの指針の入力を受け付ける。指針設定部１４は、入力受付部１３によって指針の入力が受け付けられると、入力が受け付けられた指針を、比較情報抽出部１１による比較情報の抽出に用いる指針として設定する。指針としては、例えば、標的型攻撃で実行された機能（攻撃手法）、標的型攻撃が実行されたタイミング、及び標的型攻撃の実行の成否等が挙げられる。

　指針設定部１４は、ユーザが２以上の指針を選択し、端末装置３０から２以上の指針が入力された場合は、この２以上の指針を、比較情報の抽出に用いる指針として設定する。更に、指針設定部１４は、この２以上の指針を設定すると、設定した２以上の指針それぞれ毎に重みを設定する。

　比較情報抽出部１１は、実施の形態では、指針設定部１４によって設定された指針に応じて、各攻撃の攻撃情報それぞれから、比較情報を抽出する。また、比較情報抽出部１１は、指針設定部１４が２以上の指針を設定すると、この２以上の指針それぞれ毎に、各標的型攻撃の攻撃情報から、比較情報を抽出する。

　類似度算出部１２は、比較情報抽出部１１が各攻撃情報から抽出した比較情報を用いて、類似度を算出する。また、類似度算出部１２は、指針設定部１４が２以上の指針を設定すると、２以上の指針それぞれ毎に、類似度を算出し、そして、指針それぞれ毎の類似度及び重みを用いて、総合的な類似度を算出する。

　図４～図６を用いて、比較情報抽出部１１及び類似度算出部１２の機能について具体的に説明する。図４は、指針が標的型攻撃で実行された機能である場合の比較情報及び類似度の算出手法の一例を示す図である。図５は、指針が標的型攻撃の実行されたタイミングである場合の比較情報及び類似度の算出手法の一例を示す図である。図６は、指針が標的型攻撃の実行の成否である場合の比較情報及び類似度の算出手法の一例を示す図である。

　まず、指針として、標的型攻撃で実行された機能（攻撃手法）が設定されているとする。この場合は、図４に示すように、比較情報抽出部１１は、比較情報として攻撃手法の実行順序を特定する情報を抽出する。具体的には、攻撃情報が図３に示した情報であれば、比較情報抽出部１１は、比較情報として、攻撃１については、「A, B, C, D, E」を抽出し、攻撃２については、「A, B, C, D, A」を抽出する。

　類似度算出部１２は、この場合は、類似度として、各攻撃に含まれる機能の一致率、又は各機能の順序の類似度（レーベンシュタイン距離に基づく類似度）を算出する。例えば、後者については、類似度算出部１２は、下記の数１を用いて、類似度を算出する。

　図４の例では、攻撃１と攻撃２との全機能が５つで、異なる機能が１つであるので、類似度は０．８（＝１－（１／５））となる。

　また、指針として、標的型攻撃が実行されたタイミングが設定されているとする。この場合は、図５に示すように、比較情報抽出部１１は、比較情報として、各機能が実行されたタイミングを特定する情報を抽出する。具体的には、最初の機能が実行された時刻から最後の機能の実行が終了した時刻までを攻撃実行期間とすると、比較情報抽出部１１は、攻撃毎に、攻撃実行期間をＮ個（図５においてはＮ＝２）の区間に分割し、各区間で実行された機能を特定する。そして、比較情報抽出部１１は、各攻撃における区間毎の特定した機能を比較情報とする。攻撃情報が図３に示した情報であれば、比較情報抽出部１１は、比較情報として、攻撃１については、「区間１：Ａ，Ｂ」、「区間２：Ｃ，Ｄ，Ｅ」を抽出し、攻撃２については、「区間１：Ａ，Ｂ，Ｃ」、「区間２：Ｄ，Ａ」を抽出する。

　類似度算出部１２は、この場合は、区間毎に類似度を算出し、区間毎の類似度の平均値を算出する。また、類似度算出部１２は、区間毎の類似度として、対応する区間で実行された機能の一致率、又は対応する区間内の機能の順序の類似度（レーベンシュタイン距離に基づく類似度）を算出する。例えば、後者については、類似度算出部１２は、上記の数１を用いて、区間毎の類似度を算出し、その後、平均値を求める。

　図５の例では、区間１の類似度は２／３となり、区間２の類似度は１／３となる。従って、類似度は、これらの平均値を求め、０．５となる。なお、類似度の算出方法は限定されず、類似度としては、平均値以外の値が用いられていても良い。

　また、指針として、標的型攻撃の実行の成否が設定されているとする。この場合は、図６に示すように、比較情報抽出部１１は、比較情報として、各機能の実行結果を特定する情報を抽出する。具体的には、攻撃情報が図３に示した情報であれば、比較情報抽出部１１は、比較情報として、攻撃１については、「A○, B×, C×, D○, E○」を抽出し、攻撃２については、「A○, B○, C×, D○, A×」を抽出する。

　類似度算出部１２は、この場合は、類似度として、攻撃間での対応する機能の実行結果の一致率、又は各機能の順序の類似度（レーベンシュタイン距離に基づく類似度）を算出する。例えば、前者については、類似度算出部１２は、下記の数２を用いて、類似度を算出する。

　図６の例では、攻撃２には、機能Ｅが含まれていないので、攻撃１における機能Ｅは対象外となる。また、攻撃１には２つめの機能Ａは含まれていないため、攻撃２における２つめの機能Ａは対象外となる。従って、成否が一致している対応する機能は１つめの機能Ａと機能Ｄとであるので、成否が一致している対応する機能の数は４である。また、機能Ｅと２つめ機能Ａとが対象外となるので、計算の対象となる機能の数は４である。よって、類似度は０．５（＝２／４）となる。

　また、上述したように、指針設定部１４が２以上の指針を設定する場合は、類似度算出部１２は、２以上の指針それぞれ毎に、類似度を算出し、下記の数３に、指針それぞれ毎の類似度及び重みを適用して、総合的な類似度Ｓを算出する。下記の数３において、ｗは重みである。ｆは指針毎の類似度算出用の関数である。なお、この場合においても類似度の算出方法は限定されない。

［装置動作］
　次に、実施の形態における攻撃分析支援装置１０の動作について図７を用いて説明する。図７は、実施の形態における攻撃分析支援装置の動作を示すフロー図である。以下の説明においては、適宜図１～図６を参照する。また、実施の形態では、攻撃分析支援装置を動作させることによって、攻撃分析支援方法が実施される。よって、実施の形態における攻撃分析支援方法の説明は、以下の攻撃分析支援装置１０の動作説明に代える。

　最初に、入力受付部１３は、端末装置３０においてユーザが選択した指針が入力されると、端末装置３０からの指針の入力を受け付ける（ステップＡ１）。

　次に、入力受付部１３は、管理装置２０から、攻撃情報の入力を受け付け、受け付けた攻撃情報を攻撃情報格納部１５に格納する（ステップＡ２）。

　次に、指針設定部１４は、ステップＡ２によって指針の入力が受け付けられると、入力が受け付けられた指針を、後述の比較情報抽出部１１による比較情報の抽出に用いる指針として設定する（ステップＡ３）。

　また、ユーザが２以上の指針を選択し、端末装置３０から２以上の指針が入力された場合は、ステップＡ３では、指針設定部１４は、この２以上の指針を、比較情報の抽出に用いる指針として設定する。更に、この場合、指針設定部１４は、設定した２以上の指針それぞれ毎に重みを設定する。

　次に、比較情報抽出部１１は、ステップＡ３で設定された指針に応じて、各攻撃の攻撃情報それぞれから、比較情報を抽出する（ステップＡ４）。ステップＡ４では、比較情報抽出部１１は、指針設定部１４が２以上の指針を設定すると、この２以上の指針それぞれ毎に、各標的型攻撃の攻撃情報から、比較情報を抽出する。抽出される比較情報の例は、図４～図６に示した通りである。

　次に、類似度算出部１２は、ステップＡ４で各攻撃情報から抽出された比較情報を用いて、類似度を算出する（ステップＡ５）。ステップＡ３において、２以上の指針が設定されている場合は、類似度算出部１２は、図４～図６に示したように、２以上の指針それぞれ毎に、類似度を算出し、指針それぞれ毎の類似度及び重みを用いて、総合的な類似度を算出する。

　その後、類似度算出部１２は、ステップＡ５で算出した類似度の算出結果を、ユーザの端末装置３０に出力する（ステップＡ６）。

　ステップＡ１～Ａ６の実行により、ユーザは、自身が選択した指針に沿って、標的型攻撃同士の類似度を取得することができる。このため、ユーザは、実際の標的型攻撃に類似した攻撃を簡単に想定することができ、想定した攻撃を用いて演習を行うことができる。

［プログラム］
　実施の形態におけるプログラムは、コンピュータに、図７に示すステップＡ１～Ａ６を実行させるプログラムであれば良い。このプログラムをコンピュータにインストールし、実行することによって、本実施の形態における攻撃分析支援装置１０と攻撃分析支援方法とを実現することができる。この場合、コンピュータのプロセッサは、比較情報抽出部１１、類似度算出部１２、入力受付部１３、及び指針設定部１４として機能し、処理を行なう。コンピュータとしては、汎用のＰＣの他に、スマートフォン、タブレット型端末装置が挙げられる。

　また、実施の形態では、攻撃情報格納部１５は、コンピュータに備えられたハードディスク等の記憶装置に、これらを構成するデータファイルを格納することによって実現されていても良いし、別のコンピュータの記憶装置によって実現されていても良い。

　また、本実施の形態におけるプログラムは、複数のコンピュータによって構築されたコンピュータシステムによって実行されても良い。この場合は、例えば、各コンピュータが、それぞれ、比較情報抽出部１１、類似度算出部１２、入力受付部１３、及び指針設定部１４のいずれかとして機能しても良い。

［応用例］
　続いて、図８～図１１を用いて、実施の形態における攻撃分析支援装置１０の応用例について説明する。図８は、実施の形態における攻撃分析支援装置の応用例を示す構成図である。

　図８に示すように、本例では、攻撃分析支援装置１０は、セキュリティ訓練支援装置４０の一部を構成している。セキュリティ訓練支援装置４０は、仮想の攻撃者による標的型攻撃の攻撃シナリオを生成して、標的型攻撃に対する訓練の支援を行う装置である。

　図８に示すように、セキュリティ訓練支援装置４０は、攻撃分析支援装置１０に加えて、情報取得部４１と、攻撃シナリオ生成部４２と、状態特定部４３を備えている。

　情報取得部４１は、端末装置３０から、攻撃シナリオ生成するための情報を取得する。取得される情報としては、標的型攻撃を構成する複数の工程の設定数を特定する情報（以下「設定数情報」と表記する）と、シナリオが実行される環境を特定する情報（以下「環境情報」と表記する）とが挙げられる。

　環境情報の具体例としては、攻撃の対象となる端末で使用されているオペレーティングシステムの種類、攻撃の対象となる端末のＩＰアドレス、ネットワークトロポジ等が挙げられる。また、その他に、情報取得部４１は、仮想の攻撃者によって採用される技術及びソフトウェア等を特定する情報も取得できる。

　攻撃シナリオ生成部４２は、工程の設定数が満たされるまで、各工程で実行可能な処理の要素が登録されたデータベース５０から、工程毎に、その工程で実行される処理を選択して、攻撃シナリオを生成する。

　状態特定部４３は、攻撃シナリオ生成部４２によって標的型攻撃のシナリオの工程が生成される度に、その時における、仮想の攻撃者の状態、及び仮想の攻撃者が取得している情報を特定する。なお、仮想の攻撃者の状態の特定、及び仮想の攻撃者が取得している情報の特定は、後述するように、各工程で選択される戦術、技術、及びソフトウェアに基づいて行われる。

　攻撃シナリオは、図３に示したように、複数の工程で構成されている。そして、各工程においては、各工程で実行される機能が、その工程における戦術と、その工程で利用される技術と、その工程の処理の実行に必要なソフトウェアとによって定義される。

　よって、データベース５０は、各工程における戦術の候補を特定する戦術情報５１と、各工程で利用可能な技術の候補を特定する技術情報５２と、各工程での処理の実行に利用可能なソフトウェアの候補を特定するソフトウェア情報５３とを登録している。

　ここで、データベース５０に登録されている情報の具体例と攻撃シナリオ生成部４２及び状態特定部４３による処理の具体例について説明する。図９は、応用例においてデータベースに登録されている戦術情報の一例を示す図である。図１０は、応用例においてデータベースに登録されている技術情報の一例を示す図である。図１１は、応用例においてデータベースに登録されているソフトウェア情報の一例を示す図である。

　図９に示すように、戦術情報５１は、戦術毎に、「戦術名」と、その戦術が採用される場合の仮想の攻撃者の状態を示す「状態」とで構成されている。また、図１０に示すように、技術情報５２は、技術毎に、「対応する戦術」と、「技術名」と、その技術が採用される場合の仮想の攻撃者の状態を示す「状態」と、その技術の採用後の仮想の攻撃者の状態を示す「次の状態」と、「必要な情報」と、「必要な権限」と、「対応する環境」と、「得られる結果」とで構成されている。なお、図１０における「必要な情報」としては、例えば、上述の環境情報が挙げられる。また、「対応する環境」としては、仮想の攻撃者の操作対象となる端末の環境が挙げられる。

　更に、図１１に示すように、ソフトウェア情報５３は、ソフトウェア毎に、「対応する技術」と、「ソフトウェア名」と、「対応する環境」と、「実行タイプ」と、「入力フォーマット」と、「出力フォーマット」とで構成されている。

　攻撃シナリオ生成部４２は、標的型攻撃を構成する工程（#=1,2, ...）毎に、データベース５０の戦術情報５１から、状態特定部４３によって特定された仮想の攻撃者の「状態」に合致する戦術を特定する（図３参照）。そして、攻撃シナリオ生成部４２は、特定した戦術の中から、予め設定されたルールに沿って、選択の対象となっている工程における戦術を選択する。

　次いで、攻撃シナリオ生成部４２は、データベース５０の技術情報５２から、先に選択した戦術に対応し、且つ、仮想の攻撃者の「状態」及び「環境情報」に合致する、技術を特定する。そして、攻撃シナリオ生成部４２は、特定した技術の中から、予め設定されたルールに沿って、選択の対象となっている工程における技術を選択する（図３参照）。

　次に、攻撃シナリオ生成部４２は、データベース５０のソフトウェア情報５３から、先に選択した技術に対応し、且つ、「仮想の攻撃者の操作対象となる端末の環境」が「対応する環境」と合致する、ソフトウェアを特定し、特定したソフトウェアを選択する（図３参照）。

　また、上述したルールとしては、例えば、時系列に応じて変化するルールと、仮想の攻撃者の行動を模したルールとが挙げられる。このうち、時系列に応じて変化するルールとしては、例えば、「攻撃シナリオの初期の工程では感染範囲を拡大させる戦術及び技術を選択し、攻撃シナリオの中期の工程では重要情報を発見する戦術及び技術を選択し、攻撃シナリオの後期の工程では、発見した重要情報を外部に持ち出す戦術及び技術と、痕跡を消去する戦術及び技術とを選択する」といったルールが挙げられる。また、初期、中期、後期の区別は、工程の設定数に応じて適宜行われる。

　感染範囲を拡大させる戦術としては、「Lateral Movement」が挙げられる。感染範囲を拡大させる技術としては、リモートデスクトップサービスを利用して感染範囲を拡大させる「Remote Desktop Protocol」、リモートサービス（SMB、MySQL等）の脆弱性を利用して感染範囲を拡大させる「Exploitation of Remote Services」が挙げられる。

　重要情報を発見する戦術としては、「Discovery」が挙げられる。重要事項を発見する技術としては、侵入先のネットワーク環境において侵入先の端末以外の端末を探索する「Remote System Discovery」、侵入先の端末、ネットワーク上で、ファイル、ディレクトリのリスト、特定の情報を取得する「File and Directory Discovery」が挙げられる。また、「Remote System Discovery」の具体例としては、pingコマンド、net viewコマンドが挙げられる。「File and Directory Discovery」の具体例としては、dirコマンド、treeコマンドが挙げられる。

　発見した重要情報を外部に持ち出す戦術としては、「Exfiltration」が挙げられる。発見した重要情報を外部に持ち出す技術としては、攻撃命令の通信経路と同じ経路で情報を外部に持ち出す「Exfiltration Over Command and Control Channel」と、物理的なメディアを介して情報を持ち出す「Exfiltration Over Physical Medium」とが挙げられる。「Exfiltration Over Command and Control Channel」の具体例としては、HTTP GET、emailが挙げられる。「Exfiltration Over Physical Medium」の具体例としては、USBドライブ、携帯電話が挙げられる。

　痕跡を消去する戦術としては、「Defense Evasion」が挙げられる。痕跡を消去する技術としては、攻撃活動の痕跡が残っているログを削除する「Indicator Removal on Host」と、攻撃活動で使用したファイルを削除する「File Deletion」とが挙げられる。「Indicator Removal on Host」の具体例としては、wevtutil cl system （Windowsイベントログの削除）が挙げられる。「File Deletion」の具体例としては、rmコマンド、delコマンドが挙げられる。

　また、仮想の攻撃者の行動を模したルールとしては、例えば、「現在、攻撃の対象となっている環境上にある端末において、攻撃の永続化に関する戦術及び技術が実施されていない場合に、この端末に対して攻撃の永続化に関する戦術及び技術を選択する」といったルールが挙げられる。

　攻撃の永続化に関する戦術としては、「Persistence」が挙げられる。攻撃の永続化に関する技術としては、スケジュールタスクに、特定の時刻でのプログラムの実行又は定期的なプログラムの実行を設定する「Scheduled Task」が挙げられる。また、「Scheduled Task」の具体例としては、schtasksコマンド、atコマンドが挙げられる。

　標的型攻撃では、対話的に攻撃が実行される。そして、この対話的な攻撃のための経路（TCPセッション、正規アカウントによる接続）は、システムの再起動、認証情報の変更等によって消失してしまう可能性がある。そのため、仮想の攻撃者は、侵入先の端末において攻撃を持続させるための戦術及び技術を採用する。それが、上述の、攻撃の永続化に関する戦術及び技術である。また、攻撃の永続化に関する技術の効果は、同一の端末に対しては、一度行なえば続くため、この技術は、未実施の端末のみに対して実行される。

　例えば、侵入先の端末上でRATクライアントが動作しており、仮想の攻撃者の端末上でRATサーバが動作しているとする。この場合、仮想の攻撃者は、ファイアウォール越しに、攻撃に関する操作命令を送るため、一般的には、侵入先の端末のRATクライアント側から仮想の攻撃者の端末のRATサーバに対して、セッションが張られる。しかしながら、侵入先の端末が正規の利用者によってシャットダウンされてしまうと、再起動後にRATクライアントが実行されない限り、仮想の攻撃者は操作命令を送ることができなくなる。そのため、仮想の攻撃者は、上述の「Scheduled Task」によって、侵入先の端末のスケジュールタスクに、「起動時にRATクライアントを実行する」という設定を追加し、攻撃を持続できるような攻撃手法を実行する。

　状態特定部４３は、攻撃シナリオ生成部４２によって戦術、技術、ソフトウェアが選択されると、選択された戦術の「状態」を特定し、特定した「状態」を仮想の攻撃者の状態とする。また、状態特定部４３は、選択された技術の「得られる結果」を特定し、それに基づいて、更に、仮想の攻撃者が取得している情報を特定する。

　終了条件が満たされると、攻撃シナリオが完成する。終了条件としては、生成された工程の数、即ち、戦術、技術、及びソフトウェアが選択済の工程の数が設定数に達していること等が挙げられる。

　また、攻撃シナリオ生成部４２は、攻撃シナリオを生成すると、生成した攻撃シナリオに、標的型攻撃の実行に関する情報とを付加して、攻撃情報（図３参照）とする。そして、攻撃シナリオ生成部４２は、攻撃情報を攻撃分析支援装置１０に入力する。なお、標的型攻撃の実行に関する情報の付加は、予め設定されたルールに沿って行われても良いし、ユーザによって行われていても良い。

　本応用例によれば、仮想の標的型攻撃の攻撃情報が自動的に作成されると共に、この仮想の標的型攻撃と実際の標的型攻撃との類似性が定量的に提示される。このため、ユーザにおいては、実際の標的型攻撃に類似した攻撃を用いて演習の実行が容易となる。

［物理構成］
　ここで、実施の形態におけるプログラムを実行することによって、攻撃分析支援装置１０を実現するコンピュータについて図１２を用いて説明する。図１２は、実施の形態における攻撃分析支援装置１０を実現するコンピュータの一例を示すブロック図である。

　図１２に示すように、コンピュータ１１０は、ＣＰＵ（Central Processing Unit）１１１と、メインメモリ１１２と、記憶装置１１３と、入力インターフェイス１１４と、表示コントローラ１１５と、データリーダ／ライタ１１６と、通信インターフェイス１１７とを備える。これらの各部は、バス１２１を介して、互いにデータ通信可能に接続される。

　また、コンピュータ１１０は、ＣＰＵ１１１に加えて、又はＣＰＵ１１１に代えて、ＧＰＵ（Graphics Processing Unit）、又はＦＰＧＡ（Field-Programmable Gate Array）を備えていても良い。この態様では、ＧＰＵ又はＦＰＧＡが、実施の形態におけるプログラムを実行することができる。

　ＣＰＵ１１１は、記憶装置１１３に格納された、コード群で構成された実施の形態におけるプログラムをメインメモリ１１２に展開し、各コードを所定順序で実行することにより、各種の演算を実施する。メインメモリ１１２は、典型的には、ＤＲＡＭ（Dynamic Random Access Memory）等の揮発性の記憶装置である。

　また、実施の形態におけるプログラムは、コンピュータ読み取り可能な記録媒体１２０に格納された状態で提供される。なお、本実施の形態におけるプログラムは、通信インターフェイス１１７を介して接続されたインターネット上で流通するものであっても良い。

　また、記憶装置１１３の具体例としては、ハードディスクドライブの他、フラッシュメモリ等の半導体記憶装置が挙げられる。入力インターフェイス１１４は、ＣＰＵ１１１と、キーボード及びマウスといった入力機器１１８との間のデータ伝送を仲介する。表示コントローラ１１５は、ディスプレイ装置１１９と接続され、ディスプレイ装置１１９での表示を制御する。

　データリーダ／ライタ１１６は、ＣＰＵ１１１と記録媒体１２０との間のデータ伝送を仲介し、記録媒体１２０からのプログラムの読み出し、及びコンピュータ１１０における処理結果の記録媒体１２０への書き込みを実行する。通信インターフェイス１１７は、ＣＰＵ１１１と、他のコンピュータとの間のデータ伝送を仲介する。

　また、記録媒体１２０の具体例としては、ＣＦ（Compact Flash（登録商標））及びＳＤ（Secure Digital）等の汎用的な半導体記憶デバイス、フレキシブルディスク（Flexible Disk）等の磁気記録媒体、又はＣＤ－ＲＯＭ（Compact Disk Read Only Memory）などの光学記録媒体が挙げられる。

　実施の形態における攻撃分析支援装置１０は、プログラムがインストールされたコンピュータではなく、各部に対応したハードウェアを用いることによっても実現可能である。更に、攻撃分析支援装置１０は、一部がプログラムで実現され、残りの部分がハードウェアで実現されていてもよい。

　上述した実施の形態の一部又は全部は、以下に記載する（付記１）～（付記１２）によって表現することができるが、以下の記載に限定されるものではない。

（付記１）
　複数の標的型攻撃それぞれの情報から、設定された指針に関連し、且つ、比較対象となる比較情報を抽出する、比較情報抽出部と、
　前記複数の標的型攻撃それぞれの情報から抽出された前記比較情報を入力として、前記複数の標的型攻撃それぞれ間の類似度を算出する、類似度算出部と、
を備えている、
ことを特徴とする攻撃分析支援装置。

（付記２）
付記１に記載の攻撃分析支援装置であって、
　前記複数の標的型攻撃それぞれの情報が、当該標的型攻撃において実行された機能を時系列に沿って定義する攻撃手順に関する情報、及び当該標的型攻撃の実行に関する情報を含み、
　前記指針として、標的型攻撃で実行された機能、標的型攻撃が実行されたタイミング、及び標的型攻撃の実行の成否のうち少なくとも１つが設定されている、
ことを特徴とする攻撃分析支援装置。

（付記３）
付記２に記載の攻撃分析支援装置であって、
　前記指針として、標的型攻撃で実行された機能、標的型攻撃が実行されたタイミング、及び標的型攻撃の実行の成否のうち少なくとも１つを設定する、指針設定部を更に備えている、
ことを特徴とする攻撃分析支援装置。

（付記４）
付記３に記載の攻撃分析支援装置であって、
　前記指針設定部が、２以上の前記指針を設定した場合に、更に、設定した２以上の前記指針それぞれ毎に重みを設定し、
　前記比較情報抽出部が、２以上の前記指針それぞれ毎に、複数の標的型攻撃それぞれの情報から、前記比較情報を抽出し、
　前記類似度算出部が、２以上の前記指針それぞれ毎に、前記類似度を算出し、そして、前記指針それぞれ毎の前記類似度及び前記重みを用いて、総合的な類似度を算出する、
ことを特徴とする攻撃分析支援装置。

（付記５）
　複数の標的型攻撃それぞれの情報から、設定された指針に関連し、且つ、比較対象となる比較情報を抽出する、比較情報抽出ステップと、
　前記複数の標的型攻撃それぞれの情報から抽出された前記比較情報を入力として、前記複数の標的型攻撃それぞれ間の類似度を算出する、類似度算出ステップと、
を有する、
ことを特徴とする攻撃分析支援方法。

（付記６）
付記５に記載の攻撃分析支援方法であって、
　前記複数の標的型攻撃それぞれの情報が、当該標的型攻撃において実行された機能を時系列に沿って定義する攻撃手順に関する情報、及び当該標的型攻撃の実行に関する情報を含み、
　前記指針として、標的型攻撃で実行された機能、標的型攻撃が実行されたタイミング、及び標的型攻撃の実行の成否のうち少なくとも１つが設定されている、
ことを特徴とする攻撃分析支援方法。

（付記７）
付記６に記載の攻撃分析支援方法であって、
　前記指針として、標的型攻撃で実行された機能、標的型攻撃が実行されたタイミング、及び標的型攻撃の実行の成否のうち少なくとも１つを設定する、指針設定ステップを更に有する、
ことを特徴とする攻撃分析支援方法。

（付記８）
付記７に記載の攻撃分析支援方法であって、
　前記指針設定ステップにおいて、２以上の前記指針を設定した場合に、更に、設定した２以上の前記指針それぞれ毎に重みを設定し、
　前記比較情報抽出ステップにおいて、２以上の前記指針それぞれ毎に、複数の標的型攻撃それぞれの情報から、前記比較情報を抽出し、
　前記類似度算出ステップにおいて、２以上の前記指針それぞれ毎に、前記類似度を算出し、そして、前記指針それぞれ毎の前記類似度及び前記重みを用いて、総合的な類似度を算出する、
ことを特徴とする攻撃分析支援方法。

（付記９）
コンピュータに、
　複数の標的型攻撃それぞれの情報から、設定された指針に関連し、且つ、比較対象となる比較情報を抽出する、比較情報抽出ステップと、
　前記複数の標的型攻撃それぞれの情報から抽出された前記比較情報を入力として、前記複数の標的型攻撃それぞれ間の類似度を算出する、類似度算出ステップと、
を実行させる命令を含む、プログラムを記録しているコンピュータ読み取り可能な記録媒体。

（付記１０）
付記９に記載のコンピュータ読み取り可能な記録媒体であって、
　前記複数の標的型攻撃それぞれの情報が、当該標的型攻撃において実行された機能を時系列に沿って定義する攻撃手順に関する情報、及び当該標的型攻撃の実行に関する情報を含み、
　前記指針として、標的型攻撃で実行された機能、標的型攻撃が実行されたタイミング、及び標的型攻撃の実行の成否のうち少なくとも１つが設定されている、
ことを特徴とするコンピュータ読み取り可能な記録媒体。

（付記１１）
付記１０に記載のコンピュータ読み取り可能な記録媒体であって、
前記プログラムが、前記コンピュータに、
　前記指針として、標的型攻撃で実行された機能、標的型攻撃が実行されたタイミング、及び標的型攻撃の実行の成否のうち少なくとも１つを設定する、指針設定ステップを実行させる命令を更に含む、
ことを特徴とするコンピュータ読み取り可能な記録媒体。

（付記１２）
付記１１に記載のコンピュータ読み取り可能な記録媒体であって、
　前記指針設定ステップにおいて、２以上の前記指針を設定した場合に、更に、設定した２以上の前記指針それぞれ毎に重みを設定し、
　前記比較情報抽出ステップにおいて、２以上の前記指針それぞれ毎に、複数の標的型攻撃それぞれの情報から、前記比較情報を抽出し、
　前記類似度算出ステップにおいて、２以上の前記指針それぞれ毎に、前記類似度を算出し、そして、前記指針それぞれ毎の前記類似度及び前記重みを用いて、総合的な類似度を算出する、
ことを特徴とするコンピュータ読み取り可能な記録媒体。

　以上、実施の形態を参照して本願発明を説明したが、本願発明は上記実施の形態に限定されるものではない。本願発明の構成や詳細には、本願発明のスコープ内で当業者が理解し得る様々な変更をすることができる。

　以上のように本開示によれば、標的型攻撃の類似性を定量的に提示することができる。本開示は、標的型攻撃に対抗するためのシステムに有用である。

　１０　攻撃分析支援装置
　１１　比較情報抽出部
　１２　類似度算出部
　１３　入力受付部
　１４　指針設定部
　１５　攻撃情報格納部
　２０　管理装置
　３０　端末装置
　４０　セキュリティ訓練支援装置
　４１　情報取得部
　４２　攻撃シナリオ生成部
　４３　状態特定部
　５０　データベース
　５１　戦術情報
　５２　技術情報
　５３　ソフトウェア情報
　１１０　コンピュータ
　１１１　ＣＰＵ
　１１２　メインメモリ
　１１３　記憶装置
　１１４　入力インターフェイス
　１１５　表示コントローラ
　１１６　データリーダ／ライタ
　１１７　通信インターフェイス
　１１８　入力機器
　１１９　ディスプレイ装置
　１２０　記録媒体
　１２１　バス

Claims

　複数の標的型攻撃それぞれの情報から、設定された指針に関連し、且つ、比較対象となる比較情報を抽出する、比較情報抽出手段と、
　前記複数の標的型攻撃それぞれの情報から抽出された前記比較情報を入力として、前記複数の標的型攻撃それぞれ間の類似度を算出する、類似度算出手段と、
を備えている、
ことを特徴とする攻撃分析支援装置。
請求項１に記載の攻撃分析支援装置であって、
　前記複数の標的型攻撃それぞれの情報が、当該標的型攻撃において実行された機能を時系列に沿って定義する攻撃手順に関する情報、及び当該標的型攻撃の実行に関する情報を含み、
　前記指針として、標的型攻撃で実行された機能、標的型攻撃が実行されたタイミング、及び標的型攻撃の実行の成否のうち少なくとも１つが設定されている、
ことを特徴とする攻撃分析支援装置。
請求項２に記載の攻撃分析支援装置であって、
　前記指針として、標的型攻撃で実行された機能、標的型攻撃が実行されたタイミング、及び標的型攻撃の実行の成否のうち少なくとも１つを設定する、指針設定手段を更に備えている、
ことを特徴とする攻撃分析支援装置。
請求項３に記載の攻撃分析支援装置であって、
　前記指針設定手段が、２以上の前記指針を設定した場合に、更に、設定した２以上の前記指針それぞれ毎に重みを設定し、
　前記比較情報抽出手段が、２以上の前記指針それぞれ毎に、複数の標的型攻撃それぞれの情報から、前記比較情報を抽出し、
　前記類似度算出手段が、２以上の前記指針それぞれ毎に、前記類似度を算出し、そして、前記指針それぞれ毎の前記類似度及び前記重みを用いて、総合的な類似度を算出する、
ことを特徴とする攻撃分析支援装置。
　複数の標的型攻撃それぞれの情報から、設定された指針に関連し、且つ、比較対象となる比較情報を抽出し、
　前記複数の標的型攻撃それぞれの情報から抽出された前記比較情報を入力として、前記複数の標的型攻撃それぞれ間の類似度を算出する、
ことを特徴とする攻撃分析支援方法。
請求項５に記載の攻撃分析支援方法であって、
　前記複数の標的型攻撃それぞれの情報が、当該標的型攻撃において実行された機能を時系列に沿って定義する攻撃手順に関する情報、及び当該標的型攻撃の実行に関する情報を含み、
　前記指針として、標的型攻撃で実行された機能、標的型攻撃が実行されたタイミング、及び標的型攻撃の実行の成否のうち少なくとも１つが設定されている、
ことを特徴とする攻撃分析支援方法。
請求項６に記載の攻撃分析支援方法であって、
　更に、前記指針として、標的型攻撃で実行された機能、標的型攻撃が実行されたタイミング、及び標的型攻撃の実行の成否のうち少なくとも１つを設定する、
ことを特徴とする攻撃分析支援方法。
請求項７に記載の攻撃分析支援方法であって、
　前記指針の設定において、２以上の前記指針を設定した場合に、更に、設定した２以上の前記指針それぞれ毎に重みを設定し、
　前記比較情報の抽出において、２以上の前記指針それぞれ毎に、複数の標的型攻撃それぞれの情報から、前記比較情報を抽出し、
　前記類似度の算出において、２以上の前記指針それぞれ毎に、前記類似度を算出し、そして、前記指針それぞれ毎の前記類似度及び前記重みを用いて、総合的な類似度を算出する、
ことを特徴とする攻撃分析支援方法。
コンピュータに、
　複数の標的型攻撃それぞれの情報から、設定された指針に関連し、且つ、比較対象となる比較情報を抽出させ、
　前記複数の標的型攻撃それぞれの情報から抽出された前記比較情報を入力として、前記複数の標的型攻撃それぞれ間の類似度を算出させる、
命令を含む、プログラムを記録しているコンピュータ読み取り可能な記録媒体。
請求項９に記載のコンピュータ読み取り可能な記録媒体であって、
　前記複数の標的型攻撃それぞれの情報が、当該標的型攻撃において実行された機能を時系列に沿って定義する攻撃手順に関する情報、及び当該標的型攻撃の実行に関する情報を含み、
　前記指針として、標的型攻撃で実行された機能、標的型攻撃が実行されたタイミング、及び標的型攻撃の実行の成否のうち少なくとも１つが設定されている、
ことを特徴とするコンピュータ読み取り可能な記録媒体。
請求項１０に記載のコンピュータ読み取り可能な記録媒体であって、
前記プログラムが、前記コンピュータに、
　前記指針として、標的型攻撃で実行された機能、標的型攻撃が実行されたタイミング、及び標的型攻撃の実行の成否のうち少なくとも１つを設定させる、命令を更に含む、
ことを特徴とするコンピュータ読み取り可能な記録媒体。
請求項１１に記載のコンピュータ読み取り可能な記録媒体であって、
　前記指針の設定において、２以上の前記指針を設定した場合に、更に、設定した２以上の前記指針それぞれ毎に重みを設定させ、
　前記比較情報の抽出において、２以上の前記指針それぞれ毎に、複数の標的型攻撃それぞれの情報から、前記比較情報を抽出させ、
　前記類似度の算出において、２以上の前記指針それぞれ毎に、前記類似度を算出し、そして、前記指針それぞれ毎の前記類似度及び前記重みを用いて、総合的な類似度を算出させる、
ことを特徴とするコンピュータ読み取り可能な記録媒体。