特 集
情報セキュリティ<2>
サイバー攻撃観測網について
独立行政法人 情報通信研究機構 ネットワークセキュリティ研究所
サイバーセキュリティ研究室 室長 いのうえ
だいすけ
井上 大介
1.はじめに
最大、世界でも最大級の観測規模となっている。このダーク
日々高度化、巧妙化を続けるサイバー攻撃を大局的かつ
ネット観測網は、NICTと協力関係にある日本国内外の組織
迅速に把握するため、情報通信研究機構(以下NICT)では
に分散配置されたダークネット観測用センサによって構成さ
日本最大のサイバー攻撃観測網を持つインシデント分析セン
れており、各組織の未使用IPアドレスに到来するパケットを
タnicter(Network Incident analysis Center for Tactical
収集して、nicterのセンタにリアルタイム送信している。
Emergency Response)の研究開発を推進している(図1)
。
本稿では、nicterのサイバー攻撃観測網とその応用について
3.ダークネットセンサ
概説する。
ダークネット観測を行うセンサは、パケットの送信元に対
する応答の程度によって次の3種類に分類される。
2.ダークネット
サイバー攻撃観測網として、nicterでは大規模なダークネ
*ブラックホールセンサ:パケットの送信元に対し、全く
ットを利用している。ダークネットとは、インターネット上
応答を行わないセンサ。メンテナンスが容易であり大規
で到達可能かつ未使用のIPアドレス空間のことを指す。未使
模なダークネット観測に向く。無応答であるため、外部
用のIPアドレスに対しパケットが送信されることは、通常の
からセンサの存在を検知することが困難であるという利
インターネット利用の範囲においては起こる可能性が低いが、
点もある。マルウェアの感染活動の初期段階であるスキ
実際には相当数のパケットがダークネットに到着している。
ャンは観測可能であるが、それ以降の挙動を観測するこ
1
これらのパケットの多くは、リモート感染型のマルウェア が
とはできないため、収集できる情報の深度は浅い。
送信するスキャンや攻撃(エクスプロイト)コード、マルウ
ェア同士がP2Pネットワークを確立するためのランデブー用
*低対話型センサ:パケットの送信元に対し、一定レベ
のパケット、送信元IPアドレスを詐称したSYNフラッド攻撃
ルの応答を返すセンサ。TCP SYNパケットに対して
に対する応答であるバックスキャッタ等、インターネット上
SYN-ACKパケットを返すセンサや、OSの既知の脆弱性
での不正な活動に起因している。そのため、ダークネットに
をエミュレートするローインタラクションハニーポットが
到着するパケットを観測することで、インターネット上で発
ここに含まれる。リッスンしているポートの傾向等から
生している不正な活動の傾向把握が可能になる。
センサの存在を検知されやすく、アドレスが連続した大
2013年1月現在、 nicterは約20万のIPv4アドレスをダーク
規模なダークネットでの運用には不向きである。
ネットとして用いており、ダークネット観測網としては日本
*高対話型センサ:実ホスト、若しくはそれに準じた応答
を返すセンサ(いわゆる、ハイインタラクションハニー
ポット)
。マルウェア感染時の挙動や攻撃者のキースト
ロークまで多様な情報が取得可能であるが、センサ自身
が実際にマルウェアに感染するため、二次感染やスパム
送信を防ぐなど、安全な運用を行うためのコストは高
く、大規模運用には不向きである。
図2は、上述した3種類のセンサそれぞれについて、設置の
図1.nicterのサイバー攻撃観測網による観測結果のリアルタイム可視化
12
ITUジャーナル Vol. 43 No. 4(2013, 4)
大規模性と、取得できる情報の深度を示している。
型マルウェアの活動傾向を把握することが主な目的であった
大規模性
が、一方でサーバやホストが接続している、組織の実ネット
ワーク(以下、ライブネット)の保護に直結していないとい
う課題があった。DAEDALUSはダークネットの観測結果を
ブラックホール
センサ
ライブネットの保護に直接的に活用するために開発されたシ
ステムである。
低対話型
センサ
図5はDAEDALUSがアラートを発行する3つのケースを図
示している。ケース1では、組織Gのライブネット(水色部
分)の一部でマルウェア感染が起こり、組織内で感染を広げ
高対話型
センサ
るためのローカルなスキャンを行っている。スキャンパケット
は組織G内のダークネット(濃紺部分)にも届いているため、
情報の深度
図2.センサの種類と大規模性−情報深度の関係
nicterはこのスキャンを検知して、組織GのPOC(Point of
Contact)にアラートを送信している。ケース2では、組織G
4.ダークネット観測結果
図3はnicterのダークネット観測網全体の約33%の規模を持
図3./16ダークネットの観測結果(2012年)
つ、/16ダークネット(6万5,536IPアドレスブロック)に設置
したブラックホールセンサによって、2012年1月1日∼2012年
12月31日の期間に観測されたダークネットトラヒックの統計
を示している。図中の赤色の実線は1日当たりのパケット数
を、青色の実線は1日当たりのユニークホスト数(重複を除
外した送信元ホスト数)を示している。
パケット数のピークは約1,074万パケットで8月26日に、ユ
ニークホスト数のピークは約32万ホストで12月15日に、それ
ぞれ観測している。1日平均では約589万パケットが、約27万
ユニークホストからダークネットに向けて送信された計算に
なる。
このような、nicterのダークネット観測網の観測結果の一
部はnicterWeb2の上で、リアルタイムに可視化されるととも
に、統計情報や、ユニークホスト数/パケット数の国別及び
ポート別のTop10リストとして随時公開されており(図4)
、
リモート感染型のマルウェアの大局的な活動傾向を把握する
ことができる。
5.大規模ダークネット観測に基づくアラートシステムDAEDALUS
DAEDALUS(Direct Alert Environment for Darknet
And Livenet Unified Security)は、nicterの大規模ダークネ
ット観測網を応用したアラートシステムである。従来のダー
クネット観測は、ダークネットトラヒックからリモート感染
図4.nicterWeb
ITUジャーナル Vol. 43 No. 4(2013, 4)
13
特 集
【ケース1】
組織内感染
マルウェア
DAEDALUSの仕組み(3ステップ)
【ケース2】
組織外への攻撃
① マルウェアや攻撃者が攻撃パケットを送信。
② nicterがダークネット通信を収集・分析し、
観測対象組織からの攻撃パケット
(またはDoS攻撃の跳ね返り)
を検出。
マルウェア
③ 観測対象組織へ攻撃ホストの情報を含む
アラートを送信。
信
②
: ライブネット
: ダークネット
③
①
ダークネット通信
①
ダー
クネ
ット
通
情報セキュリティ<2>
②
③
【ケース3】
DoS攻撃の跳ね返り
攻撃者
ダークネット通信
①
①
②
②
信
通
ット
クネ
ダー
③
図6.DAEDALUSの可視化エンジン(DAEDALUS-VIZ)
がライブネット、濃紺の部分がダークネットであり、リング
図5.DAEDALUSがアラートを発行する3ケース
の外周の「警」のマークは組織内でアラートの原因となった
送信元ホストを指し示している。このDAEDALUS-VIZ上で
内のマルウェア感染ホストが、組織Aのダークネットにスキャ
のアラート表示と同時に、該当組織にはメールベースのアラ
ンを行っているため、同じくnicterがスキャンを検知して、組
ートが自動送信され、実際のセキュリティオペレーションの
織Gにアラートを送信している。ケース3では、攻撃者が組織
トリガとして活用されている。
Gの特定アドレスに対して、送信元IPアドレスをランダムに
詐称したDoS攻撃(SYN flood攻撃)を行っており、その跳
6.おわりに
ね返り(SYN-ACK)パケットが、複数の組織のダークネッ
本稿では、NICTが研究開発を行っているnicterのサイバ
トで検知されている。この場合も、nicterから組織Gに対し
て、アラートが即時送信される。
ー攻撃観測網の仕組みと観測結果を示すとともに、その応用
技術であるDAEDALUSについて概説した。
このようにDAEDALUSは、ダークネット観測網に参加し
ダークネットでその活動を観測できるのは、能動的に感染
ている組織が、組織の内外に攻撃を行った場合や、送信元
活動を行うリモート感染型マルウェアであり、ユーザのWeb
IPアドレスをランダムに詐称したDoS攻撃を受けた場合に、
アクセスをトリガとするドライブ・バイ・ダウンロード攻撃
nicterがそれを検知し、当該組織に即時アラートを送信する
や、ターゲットとなる組織を絞った標的型攻撃などは、大規
ことで、ダークネット観測結果をライブネットの保護に活か
模観測の網にはかからない。そのため、NICTでは新たな観
している。DAEDALUSアラートは、nicter のブラックホール
測・分析・対策の仕組みを確立するため、ドライブ・バイ・
センサを設置可能な大学等の教育機関には無償提供されて
ダウンロード攻撃対策フレームワークや、標的型攻撃対策技
いる。また、DAEDALUSアラートを利用した商用のアラー
術の研究開発に取り組んでいる。
トサービスも民間企業がスタートさせている。
図6はDAEDALUSのアラート発行状況を俯瞰的に把握す
るための可視化エンジンDAEDALUS-VIZである。中央の球
注
1
トなど情報漏えいやデータ破壊、他のコンピュータへの
体がインターネット、その周りを周回している各リングが、
感染など有害な活動を行うソフトウェアの総称。“mali-
nicter のセンサを設置している組織のネットワークを表して
いる。球体とリングの間を飛び交う流星状のオブジェクトは
ダークネットトラヒックを表している。リングの水色の部分
14
ITUジャーナル Vol. 43 No. 4(2013, 4)
ウイルス、ワーム、トロイの木馬、スパイウェア、ボッ
cious”と“software”を組み合わせた造語
2
http://www.nicter.jp/
ダウンロード

サイバー攻撃観測網について - ITU-AJ