特定の組織をターゲットにした標的型サイバー攻撃(APT攻撃と呼ぶ)にいかに備えるべきか。本誌では、APT対策について、KDDIの情報セキュリティフェローや日本ネットワークセキュリティ協会の副会長として情報セキュリティの最前線で対策技術の開発や標準化に取り組む中尾康二氏に話を聞いた。
プロフィール
中尾康二 (NAKAO Koji)
![]()
1979年早稲田大学卒業後、国際電信電に入社。KDD研究所を経て、現在KDDI 情報セキュリティフェロー、及び独立法人情報通信研究機構(NICT)ネットワークセキュリティ研究所 主管研究員兼務。ネットワーク及びシステムを中心とした情報セキュリティ技術に関わる技術開発に従事。早稲田大学、及び名古屋大学非常勤講師。
7月5日(木)に開催される『2012年度版 最新脅威対策講座 - マイナビニュースITサミット Webセキュリティ - 』で講演予定。
ダークネット観測によるサイバー攻撃アラート研究の応用が可能
政府機関や企業など特定の組織を狙って、メール経由でのマルウェア感染やDDoS攻撃など、複数の攻撃手法を駆使して執拗かつ継続的に攻撃を行うAPT。企業や組織は、こうした脅威にどのように向き合えばよいのだろうか。
KDDIの情報セキュリティフェローと、NICTのネットワークセキュリティ研究所主管研究員を兼務する中尾康二氏は、APTへの対策として、「インターネット/Web上にどのような脅威があるのかを早期に把握し、多くの攻撃シナリオを把握することも重要。しかし、APT攻撃は、標的となる組織を狙い打つものであるため、通常の攻撃と異なる。従って、侵入攻撃を防ぐだけではなく、組織内の "ネットワーク"を観測し、そこで得られた異常(組織では通常ありえない通信等)を迅速に警告することが必要」と指摘する。
そのためには、これまで進めてきたNICTによる「ダークネット観測によるサイバー攻撃アラート研究」が活用できる。ダークネットとは、現実に存在するPCやサーバーなどが使用しているIPアドレス空間であるライブネットに対して、未使用のIPアドレス空間のことを指す。こうしたダークネットにパケットが送信されることは通常ないが、実際にダークネットを観測してみると、相当数のパケットが検出されることが多い。これらのパケットの多くは、マルウェアの感染活動など、インターネットやWeb上で発生している何らかの不正な活動によるものと考えられる。「この特徴をAPT対策に活用し、組織内のダークネットを同様な手法により観測し、そこに到着する組織内からの通信(パケット)を迅速に把握する。このような観測が、侵入攻撃の後のAPT攻撃の挙動分析に役に立つ」(中尾氏)という。
APT攻撃では、標的とする組織への侵入の後、多くの活動を組織内で展開する。組織内のダークネットを活用することにより、侵入後の挙動把握を的確に実施することにより、APT攻撃の実害を防ぐことに繋がるわけである。APT攻撃は、組織内での活動のほかに、外部への報告(攻撃者へ)や不正なアクセスが同時に発生する。通常的に想定していない外部への攻撃などについても、ダークネットを用いた観測方法が役に立つ。具体的な観測システムについては、以下に示す"DAEDALUS"が活用できる。
サイバー攻撃アラートシステム"DAEDALUS"がついに利用可能に
中尾氏は、実際にNICTの活動に参画し、ダークネット観測によって脅威を特定するインシデント分析システム「nicter(ニクター)」の研究・開発に取り組んできた。
そのNICTは2012年6月6日、nicterの大規模ダークネット観測網を活用した対サイバー攻撃アラートシステム「DAEDALUS(ダイダロス)」の外部への展開を正式に開始すると発表。民間のネットワーク・ベンダー2社(クルウィットとディアイティ)が商用サービスを開始することを明らかにした。
同サービスでは、観測対象の組織に対し、組織内のマルウェアによる感染活動や、組織内から組織外への感染活動、組織外から受けているDoS攻撃の跳ね返り(バックスキャッタ)などをダークネット上で観測すると、速やかにアラートを送信することになっている(図参照)。
|
|
図1 : DAEDALUS が異常検知可能な3つのケース |
DAEDALUSシステムには、「外部観測」と「内部観測」の2段階の観測方法がある。
外部観測は、観測対象組織のIPアドレスブロックを登録するだけで、ダークネット観測網によって、当該アドレスブロックから送出される攻撃を組織外から観測するもの。
内部観測は、組織のIPアドレスブロックの登録に加えて、組織内にダークネット観測用センサを設置することで、組織内ネットワークのマルウェア感染や設定ミスなどを検知できるというものだ。なお、同センサを設置可能な教育機関には、アラート・サービスが無償で提供されるという。
「上記のDAEDALUSシステムにおける「外部観測」と「内部観測」を組み合わせることが、APT対策の一助となる」(中尾氏)という。
* * *
7月5日に開催される本誌主催の『2012年度版 最新脅威対策講座 - マイナビニュースITサミット Webセキュリティ - 』では、中尾氏が「最新脅威傾向とセキュリティ標準化動向」のテーマで講演する予定だ。講演では、情報セキュリティ対策に成功するためのヒントとなる様々なトピックが紹介されることになっている。
本稿で概要を紹介したダークネット観測による対サイバー攻撃対策のより詳細な内容のほか、スマートフォン・セキュリティの課題及び日本発のプライバシー管理の国際標準化への取り組みが紹介される。また、クラウド・コンピューティング、スマートグリッド、IPv6に関するサイバー・セキュリティ対策の最新動向にも触れる予定だ。中尾氏の講演を参考にして万全なサイバー・セキュリティ対策を実現していただきたい。
