NICT サイバーセキュリティ研究室は5月31日、標的型攻撃などのサイバー攻撃対策として、模擬ネットワークに攻撃者を誘い込み、その攻撃活動を攻撃者には察知できないように長期観測することを可能にするサイバー攻撃誘引基盤「STARDUST」を開発したと発表した。
|
「STARDUST」の仕組み |
NICTによると、標的型攻撃の被害に遭った組織から攻撃に関わるデータが公表されることはあまりなく、実データセットが不足していることとから、標的型攻撃の対策技術の研究開発が難しい状況にあり、マルウェア感染後の攻撃者の挙動を含む標的型攻撃の実データセットを自ら作り出せる研究基盤が必要となっていたという。
並行ネットワーク上では、各種サーバ(Webサーバ、メールサーバ、ファイルサーバ、DNSサーバ、認証サーバ、プロキシサーバなど)や数十台~数百台のPCが実稼働するとともに、サーバやPCには組織の情報資産を模した模擬情報が配置され、実在の組織のようにふるまう。
実ネットワークと並行ネットワークを、Wormhole(ワームホール)と呼ばれるVPN(仮想プライベートネットワーク)と多段NAT(ネットワークアドレス変換)を組み合わせたネットワーク機器で接続することで、並行ネットワークを実ネットワークのIPアドレスに模擬することができ、さらに高度な模倣も可能である。
STARDUSTは、政府や企業等の組織を精巧に模擬したネットワーク「並行ネットワーク」を柔軟かつ高速に(数時間程度で)構築することが可能だという。
|
「並行ネットワーク」の仕組み |
並行ネットワーク上のPC「模擬ノード」で標的型攻撃に用いられるマルウェア検体を実行すると、マルウェアが設けたバックドアを経由して攻撃者が外部から接続を試みた後、並行ネットワークに侵入した攻撃者は、調査行為や感染拡大行為、情報窃取などを試みるという。
STARDUSTは、こうした攻撃者の挙動を攻撃者には察知できないステルス性の高い手法で観測し、リアルタイムの挙動観測・分析を可能にするとしている。
STARDUSTを用いて攻撃誘引を行うことで、標的型攻撃の実データセットを作り出し、対策技術の研究開発を大きく進展させることが期待できるという。
