本文とサイドメニューへジャンプするためのナビゲーションスキップです。

スタートアップガイド

J-Net21 中小企業ビジネス支援サイト

  • J-Net21とは
  • スタートアップガイド
中小機構
  • メルマガ登録
  • RSS一覧
  • お問い合わせ

HOME > 製品・技術を開発する > デジ・ステーション

デジ・ステーション


5分でわかる最新キーワード解説
攻撃アラートシステム「DAEDALUS」

日々進歩するIT技術は、ともすると取り残されてしまいそうな勢いで進化の速度を高めています。そこでキーマンズネット編集部がお届けするのが「5分でわかる最新キーワード解説」。このコーナーを読めば、最新IT事情がスラスラ読み解けるようになることうけあい。忙しいアナタもサラっと読めてタメになる、そんなコーナーを目指します。今回は、DoS攻撃などの悪質パケットが飛び交うネット社会のありさまをリアルタイムに観測し、危険が迫ればアラートを発する、対サイバー攻撃アラートシステム「DAEDALUS(ダイダロス)」を紹介します。観測用モニタに表示されるのは、SF映画さながらの3D“サイバースペース”。そこでは攻撃パケットが、スパイダーマンのウェブシューター(クモ糸)のように組織ネットワークに襲いかかっています!

1.「DAEDALUS」とは

「DAEDALUS(ダイダロス: Direct Alert Environment for Darknet And Livenet Unified Security)」は、独立行政法人情報通信研究機構(以下、NICT)が開発した、組織内ネットワークのマルウェア感染状況などをリアルタイムに観測し、研究への協力組織に警告メールを発行する「対サイバー攻撃アラートシステム」だ。

1-1.ネットワークの可視化技術を利用して、攻撃活動を3Dグラフィックスで表示

図1 DAEDALUSの観測画面の例
図1 DAEDALUSの観測画面の例

資料提供:NICT

DAEDALUSのインパクトは、なんといってもグラフィックスの秀逸さだ。観測画面(図1)では、暗い空間にブルー基調のワイヤフレームグラフィックスによる球体とリング形状の円盤が浮かび、無数の光る細糸がそれらの間に延びている。中央の球体がインターネット、リングは観測対象の組織のネットワークを表す。細糸は、使用されていないIPアドレスに向かうパケットを示している。

暗黒ネットワークで危険を察知、異常発見で即座にアラート!
図2 異常発見時の警告画面
図2 異常発見時の警告画面

新規の異常が発見された時には画面全体にアラートアイコンを表示する。

資料提供:NICT

それぞれのリングは、各組織ネットワークが保有しているIPアドレスを表現したものだ。リングの大きさはIPアドレスの量を表し、水色の部分は、使われているIPアドレス(ライブネットと呼ぶ)、紺色の部分は使われていないIPアドレス(ダークネットと呼ぶ)だ。DAEDALUSが観測するのは、このダークネット部分へのパケット到達状況だ。使われていないIPアドレスとの通信は通常あり得ない。そこに向けた通信の試みは、すべてが攻撃とは言えないが、怪しい行動なのは確かだ。DAEDALUSはこうしたパケットの動きを解析し、危険だと判断すれば、即座にアラートを発する。図2は新しい異常が発見された時の観測画面の表示だ。ひと目で危険が分かる。

観測画面ではリアルタイムにパケットの動きが表示され、表示オブジェクトは自由にズームしたり、回転したりできる。パケットの状況が見やすい角度に視点を設定することができるわけだ。警告アラートが出てから時間が経過すると、異常のある組織ネットワークのIPアドレスのところ(リング状)に「警」の字のアイコンが表示される(図3)。そのIPアドレスで何が起きているかの詳細は、観測画面上でのマウス操作で表示できる。

図3 異常が発生しているIPアドレスに「警」の字アイコンを表示
図3 異常が発生しているIPアドレスに「警」の字アイコンを表示

資料提供:NICT

1-2.DAEDALUSの仕組みは?

DAEDALUSのベースになっているのは、NICTがかねてより研究開発を進めているインシデント分析センター「nicter(ニクター:Network Incident analysis Center for Tactical Emergency Response)だ。
 nicterは、インターネットで発生するさまざまな情報セキュリティ上の脅威を迅速に把握して対策がとれるようにするシステムだ。国内の大学・研究機関などの協力を得て、組織内ネットワークに専用のパケット観測用センサを設置し、ダークネットへのパケット到達状況データを常に収集している。現在観測しているダークネットは、なんと約19万個に及ぶ。
 nicterには4つのサブシステムがある(図4)。

図4 インシデント分析システムnicterの概要
図4 インシデント分析システムnicterの概要

資料提供:NICT

マクロ解析システムは、ネットワーク観測のデータを元に可視化や分析を行い、現象として何が起きているのかを突き止める。一方、ミクロ解析システムは攻撃の原因であるマルウェアを収集・解析し、何を起こすかを割り出している。この2つの解析システムの結果を相関分析システムで分析すると、ネットワークで起きている現象が、どの種のマルウェアによるものなのかまで分かる。
 その結果をインシデントハンドリングシステムが受け取り、ユーザやISPにアラートを発行する。DAEDALUSはこのサブシステムの一部として開発されたものだ。

2.DAEDALUSで何が分かるのか

2-1.DAEDALUSがアラートを発行する3つのケース

DAEDALUSが発見できるのは、組織内のマルウェア感染、組織外への攻撃、組織外からのDoS攻撃だ。攻撃を発見し次第、アラートが発せられる。図5に示すように、3つのケースを捕捉できる。

図5 DAEDALUSがアラートを発する3つのケース
図5 DAEDALUSがアラートを発する3つのケース

資料提供:NICT

【ケース1】組織内ネットワークにマルウェアが侵入し、内部で攻撃パケットを送信しているケース
 DAEDALUSの観測画面では図6のように見える。内部にいても、感染はもちろん攻撃も気づかない場合もある。外部からのアラートは迅速な対処を図り、マルウェアを除去するのに有効だ。
図6 組織内でマルウェア感染PCが組織内ネットワークに攻撃パケットを送信
図6 組織内でマルウェア感染PCが組織内ネットワークに攻撃パケットを送信

資料提供:NICT

【ケース2】ある組織に忍び込んだマルウェアが、外部の組織に攻撃パケットを送信しているケース
 DAEDALUSはマルウェアに感染している組織のほうにアラートを行う。
【ケース3】外部からDOS攻撃を受けているケース
 例えば送信元IPアドレスをランダムに詐称したSYN FLOOD攻撃なら、攻撃者が送ったSYNパケットに対するACKパケットが複数の組織に送信される(跳ね返りパケット)。そのACKパケットをとらえてDoS攻撃を受けている組織にアラートメールを送る。

2-2.DAEDALUSが目指すもの

アラートのオペレーションの効率化は明らかな利点だ。しかし、インパクトの強いサイバーパンク風3Dグラフィックスを使ったのはなぜだろう。開発者の1人は「セキュリティアウェアネスの向上、つまりグラフィックスを見て直感的に対策の必要性を感じてもらいたいということと、サイバーセキュリティが“かっこいい”ことに気づいてもらい、若者にこの分野の技術者・研究者を目指してもらいたい」からだと語ってくれた。
 取材時に観測画面を見ていると、インターネットから突然パケットが束になって1つのリングのダークネット部分に向かってきた。それはまさに襲いかかるという表現がふさわしい動きだった。実際はネットワークのスキャン活動が行われただけだったが、DoS攻撃が行われた時の怖さが想像できる気がした。ビジュアルは「アウェアネス」に大きく影響しそうだ。また実に“かっこいい”ことも確かだった。
 DAEDALUSは各種のサイバー攻撃が検知できるが、現在のところドライブ・バイ・ダウンロード型の攻撃(ユーザPCからインターネット上のマルウェアを自動ダウンロードする攻撃)には対応していない。nicterの新たな観測・分析の仕組みとして研究開発を進めているとのことだ。また、標的型攻撃やSNSなどからのウイルス感染などへの対応はこれからだ。
 なお、DAEDALUSのアラート発行先は協力組織に限られるが、民間会社に技術移転し、誰でも有償で利用できるようになった。株式会社クルウィットの「SiteVisor」がそれだ。

以上、今回はサイバー攻撃アラートシステムの先端を紹介した。特に3Dグラフィックスによるネットワーク表現は圧巻だ。次は何を見せてくれるのか、今から気になる。

取材協力 :独立行政法人 情報通信研究機構(NICT)

掲載日:2012年9月 5日

キーマンズネット

出典元:株式会社リクルート キーマンズネット 2012年8月1日掲載分

検索

このページの先頭へ