Interop2017

デモ中に不正な通信--つながるセキュリティがInteropでとらえたリアルな攻撃

國谷武史 (編集部) 2017年06月08日 08時00分

  • このエントリーをはてなブックマークに追加

 千葉・幕張メッセで6月7~9日に開催されている「Interop Tokyo 2017」では、最新のネットワーク技術と並んで先進的なセキュリティ対策技術も数多く出展されている。中でも来場者の注目を集めたのが、情報通信研究機構(NICT)が開発する出展社のセキュリティ製品とも連携可能な監視や分析のシステム群だ。

 NICTが今回展示したのは、サイバー攻撃監視・分析の「NICTER」、攻撃アラートの「DAEDALUS」、統合分析プラットフォーム「NIRVANA改」、攻撃誘引プラットフォーム「STARDUST」の4つのシステム。STARDUSTは初の出展になる。

見えないサイバー攻撃を可視化

 これらの中で最も開発の歴史が長いNICTERは、「ダークネット」と呼ばれる約30万の未使用のIPアドレスに対する無差別型サイバー攻撃を常時監視し、攻撃元や標的ポートなどの分析情報をリアルタイムに提供している。

 NICTによると、NICTERで2016年に観測された年間の総パケット数は約1281億パケットで、2015年の約545.1億パケットから2.2倍に増加し、1つのIPアドレスあたりでも倍増した。この増加要因となっているのが、マルウェアに感染したウェブカメラなどのIoTデバイスだという。

 NICTERの観測では、ウェブカメラなどへのTelnet接続で使用されるポート23/TCPが全体の約53%を占め、中国メーカー製のルータで使われるポート53413/UDPが約7%で2番目に多い。IoTデバイスで利用されるこの2つのポートに対する攻撃が約64%を占めていた。

 NICTはNICTERの機能強化を毎年行い、最新版では2016年に出現したIoTマルウェア「Mirai」に感染したとみられる機器からの通信をリアルタイムに表示する機能を搭載する。Interop会場では、NICTERが感染先を広げるMiraiの膨大な攻撃の状況を可視化する様子が披露された。

NICTERでは、マルウェア「Mirai」に感染した機器からの通信を表示''
NICTERでは、マルウェア「Mirai」に感染した機器からの通信を表示

 無差別型攻撃の観測を対象とするNICTERとは異なり、組織に対する標的型攻撃の観測を目的に開発されたのが、初出展となるSTARDUSTだ。NICTは、日本で標的型攻撃の存在が本格的に知られるようになった2011年にSTARDUSTの開発をスタートしたという。

 一般的に標的型攻撃は、攻撃者が組織内部から機密情報などを搾取する目的で、長期間にわたって潜伏し、徐々に侵入範囲を広げることから、その動きを捉えるのが非常に難しいとされる。被害範囲は少数の組織にとどまり、被害に遭った組織がその実態を公表するケースも少ないため、STARDUSTの開発では標的型攻撃の全容を詳細に監視する仕組みの検討に時間を要したようだ。

 STARDUSでは、実ネットワークのIPアドレスを用いた「並行ネットワーク」と呼ばれる仮想空間に組織のIT環境を再現させることができる。外部から侵入する攻撃者を並行ネットワークの環境に誘い込み、その内部で侵入範囲を広げる行為やデータ、ファイルなどへのアクセス、おとりのデータの外部送信といった活動を監視することで、攻撃の全容が詳しく分かるようになった。

STARDUSTに誘導された攻撃者が実際に行ったというファイルアクセスの内容''
STARDUSTに誘導された攻撃者が実際に行ったというファイルアクセスの内容

 実際の攻撃を対象に行った予備誘引実験の結果では、標的型攻撃にまつわる"通説"とは違った傾向がみられたという。

 例えば、「高度な標的型攻撃は国家が関与している」といった通説に対しては、STARDUSの観測ではマニュアルに沿って似たような攻撃手法が何度も実行されており、国家が関与しているかのような特殊性は認められなかった。また、「攻撃者が検知を逃れるために巧妙な手口を駆使する」という説でも、実際には正規のユーザーが用いないようなコマンドを多用していることが分かった。

 こうしたことから、通説に沿うような標的型攻撃は、実際にはそれほど多くはないとみられる。NICTはネットワークやエンドポイントにおけるセキュリティ対策を適切に講じることが大切だとアドバイスする。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

この記事を読んだ方に

連載

CIO
シェアリングエコノミーの衝撃
デジタル“失敗学”
コンサルティング現場のカラクリ
Rethink Internet:インターネット再考
インシデントをもたらすヒューマンエラー
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
エンドポイントセキュリティの4つの「基礎」
企業セキュリティの歩き方
サイバーセキュリティ未来考
ネットワークセキュリティの要諦
セキュリティの論点
スペシャル
エンタープライズAIの隆盛
インシュアテックで変わる保険業界
顧客は勝手に育たない--MAツール導入の心得
「ひとり情シス」の本当のところ
ざっくり解決!SNS担当者お悩み相談室
生産性向上に効くビジネスITツール最前線
ざっくりわかるSNSマーケティング入門
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell Technologies World
AWS re:Invent
AWS Summit
PTC LiveWorx
吉田行男「より賢く活用するためのOSS最新動向」
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
日本株展望
企業決算
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]