独立行政法人 情報通信研究機構 (NICT)は6月6日、組織内ネットワークにおけるマルウェア感染などを検知して、警告を発する対サイバー攻撃アラートシステム「DAEDALUS (ダイダロス : Direct Alert Environment for Darknet And Livenet Unified Security)」の外部展開を開始した。

DAEDALUSは、日本各地に分散配置されたダークネット観測網を用いて、組織内から送出される異常な通信を検知し、当該組織に対して迅速にアラートを送信するようになっている。同機構では、既存の侵入検知システムや侵入防止システムなどとDAEDALUSを併用することによって、組織内ネットワークの情報セキュリティの一層の向上が期待できるとしている。

ダークネットは、インターネット上で到達可能でありながら未使用のIPアドレス空間のことを指しており、これらのIPアドレスに対しパケットが送信されることは通常の利用においては稀であることから、これらのIPアドレス空間のパケットを観測することによって不正な活動の傾向把握が可能になるとしている。

DAEDALUSの可視化エンジン

DAEDALUSは、同機構が研究開発を進めるインシデント分析システムnicter (ニクター)の大規模ダークネット観測網を活用した対サイバー攻撃アラートシステム。観測対象の組織について、組織内のマルウェアによる感染活動や、組織内から組織外への感染活動、組織外から受けているDoS攻撃の跳ね返り(バックスキャッタ)などをダークネットで観測した場合に、当該組織へアラートが送信される。

DAEDALUSの観測には二段階の方法が用意されており、外部観測では、観測対象のIPアドレスブロックを登録して、nicterのダークネット観測網から当該アドレスブロックより送出される攻撃を組織外から観測。内部観測では、IPアドレスブロックの登録に加えて、組織内にnicterのダークネット観測用センサを設置して組織内ネットワークのマルウェア感染や設定ミスなどを検知する仕組みとなっている。

DAEDALUSが異常検知可能な3 つのケース

DAEDALUSの外部展開については、大学などnicterのセンサを設置可能な教育機関にはDAEDALUSアラートを無償で提供するとしているほか、DAEDALUSの仕組みをクルウィットおよびディアイティに技術移転し商用アラートサービス「SiteVisor」としても開始する予定。

DAEDALUS の可視化エンジン (新規アラート発生時)
新規の異常が検知された場合には、画面全体にアラートアイコンを強調表示

DAEDALUS の可視化エンジン (観測対象組織)
リング状にマッピングされた観測対象組織のIP アドレスブロック。水色部分がライブネット(使用中IP アドレス)、紺色部分がダークネット (未使用IP アドレス)。異常検知されたライブネットのIP アドレスに「警」のアイコンでアラートが表示されている

DAEDALUS の可視化エンジン (上部からの視点)
中央の球状で表現されたインターネットから、その周囲を周回するリング状の観測対象組織 (nicterダークネット観測センサ設置組織)のダークネットに向かって、パケットが飛来している様子