情報通信研究機構(NICT)は5月31日、サイバー攻撃者の活動の観測からリアルタイムに詳しい動きを把握できるというサイバー攻撃誘引基盤「STARDUST」を発表した。6月7~9日に開催される「Interop Tokyo 2017」で動態展示する。
サイバー攻撃誘引基盤「STARDUST」のイメージ(出典:NICT)
STARDUSTは、政府や企業などの組織のネットワーク環境を精巧に模擬した「並行ネットワーク」へ標的型攻撃を実行する攻撃者を誘い込み、その活動を長期的に観測する。並行ネットワークはツールを利用して数時間程度で自動構築でき、ウェブやメール、DNS、ファイル、認証、プロキシなどのサーバおよびPCの「模擬ノード」を数百台規模で展開。各ノードに組織の情報資産データなども配置する。
また実際のネットワークと並行ネットワークを「Wormhole」と呼ばれるVPNや多段NATのネットワーク機器で接続させ、並行ネットワークに実際のネットワークのIPアドレスを模擬させることも可能だという。
「並行ネットワーク」を構築、管理するウェブコンソール(出典:NICT)
精巧に構築した並行ネットワークでは、トラフィック解析基盤の「SF-TAP」を使って、並行ネットワークの外側から攻撃者が送受信したパケットを観測。通信内容の再構成や分析によって、攻撃者の行動をリアルタイムに把握する。
NICTは、STARDUSTによってセキュリティ対策技術の研究開発の進展につながることが期待されると説明。開発にあたっては富士通研究所、サイバーディフェンス研究所、セキュアブレイン、ニッシン、日立製作所、日立システムズ、NTTセキュアプラットフォーム研究所、NTTアドバンステクノロジが協力した。
「模擬ノード」のイメージ(出典:NICT)
