NICT NEWS
トップページ
-特集-「安心・安全なネットワーク社会の実現を目指す」 篠田 陽一
-特集- 「安全なネットワーク環境を目指して」 大高 一弘
-特集-「暗号技術の安全性を測る」 田中 秀磨
-特集- 「災害時の情報収集に役立つICT」 滝澤 修
-研究者紹介- 岩井 宏徳
-トピックス-「CRYPTRECシンポジウム2009」
-トピックス-「NICT情報通信セキュリティシンポジウム」
-トピックス-「情報通信ベンチャーフォーラム2009開催報告」
情報通信セキュリティ研究センター特集

安全なネットワーク環境を目指して インシデント分析センターnicterの紹介 情報通信セキュリティ研究センター インシデント対策グループ 研究マネージャー 大高 一弘

日本のインターネットを守るために

インターネットは今や、私たちの生活には欠かすことのできないツールとなっています。その一方でインターネットを経由したマルウェアの蔓延やそれに伴う情報漏えい、ユーザーをフィッシングサイトへと誘導する大量のスパムメール、Webサーバに対する情報改ざんやサービス不能攻撃など、様々なインシデント(セキュリティ事故)が日々発生しています。その対策は、ユーザーレベルではウイルス対策ソフトやパーソナルファイアウォール、企業などでは侵入検知システム(IDS)や侵入防止システム(IPS)などのセキュリティ技術が導入されています。これらの対策は局所的な「点」で守るセキュリティ技術で、各ユーザーや企業などの組織向けの対策です。しかし、社会インフラとしてインターネット全体を考えるとき、その安全性は点で守るだけでは十分とは言えません。 情報通信セキュリティ研究センターインシデント対策グループでは、日本のインターネットを守るための研究開発を目的に、ネットワークに対する攻撃を「点」ではなく「面」で観測する、インシデント分析センターnicter(Network Incident analysis Center for Tactical Emergency Response)の構築を行っています。

nicterの全体像

nicterは、広域のネットワーク攻撃の様子を観測 ・分析する「マクロ解析システム」、ネットワーク攻撃の原因であるマルウェアの解析を行う「ミクロ解析システム」及び攻撃の様子とその原因であるマルウェアを結び付けて原因を特定する「相関分析システム」で構成されています(図1)。

図1 nicterの全体像

【マクロ解析システム】

インターネット全体を見渡して、インターネットに何が起こっているかをリアルタイムに観測・分析を行います。国内複数の拠点に合計12万以上のIPアドレス群のセンサーを設置して観測しています。このセンサーはダークネットと呼ばれる、インターネット上で到達可能で、かつ未使用なIPアドレス空間に設置しています。未使用のIPアドレスにパケットが送信されることは、通常のインターネット利用では起こらないのですが、実際には相当数のパケットが到達しています。これらのパケットの多くは、ネットワークを経由してマルウェアを感染させることを目的に送信されています。観測されたパケットは、可視化エンジン(Atlas, Cube, Tiles)(図2〜4)でリアルタイムにネットワーク攻撃の様子を直感的に分かりやすく表示し、観測することが可能になります。

図2 Atlas 観測されたパケットのIPアドレスから国名を判別して、送信元の国の首都からあて先の国の首都にパケットが届く様子を世界地図上リアルタイムに表示します。 図3 Cube 観測されたパケットを、三次元にアニメーション表現する可視化エンジンです。立方体の平行する2面の片側の面を送信元、反対側の面をあて先として、縦軸はIPアドレス、横軸はポート番号で表現しています。観測されたパケットを送信元からあて先へ通過させることで、スキャンやバックスキャッタなどの様子が可視化され、現象を認識しやすくしています。 図4 Tiles 観測されたパケットの送信元ホストごとの挙動を分析し、可視化するエンジンです。小さなタイル1つ1つが送信元ホストごとの挙動を表現しています。連続して観測し、最新の分析結果に随時更新していきます。タイルの片面は送信元の国旗を表示して、もう片面には送信元ホストが30秒間に送出したパケットの時刻、送信元/あて先ポート番号、あて先IPアドレスを用いて表現しています。1つのパケットは1本の線で表現しています。また、挙動を分析し、新しい挙動を検出するとアラートをあげてオペレータに通知しています。

【ミクロ解析システム】

ネットワーク攻撃の原因であるマルウェアの解析を行います。マルウェアの収集にはハニーポットやWebクローラ等を使用しています。収集されたマルウェアを自動的に解析しており、1日に約2000検体まで解析が可能です。ミクロ解析システムは静的解析エンジンと動的解析エンジンと呼ぶ2つの解析エンジンを用いて分析を行っています。

[静的解析エンジン] マルウェアの実行コードを逆アセンブルしてアセンブラレベルでマルウェアの持つ機能や特徴を詳細に解析します。得られたアセンブリコードから、マルウェアの実行コードに含まれるAPIのリストやアクセスに使用するメッセージの文字列など情報の抽出を行います。

[動的解析エンジン] マルウェアを実マシン上で実行させて、マルウェアが使用したAPIやネットワークアクセスなどの挙動を解析します。この動作を実ネットワーク環境で行うと、新たな感染活動やネットワーク攻撃を始めるため、完全に隔離した疑似ネットワーク環境を構築して解析を行っています。最近のマルウェアは、実ネットワークと疑似ネットワークの識別を行っており、本来の感染活動・ネットワーク攻撃を開始しないことが多くなっています。マルウェアがチェックに用いているDNSやIRCなどの多数のダミーサーバを用意して実インターネットをエミュレートしています。

【相関分析システム】

nicterの最大の特徴は相関分析システムです。マクロ解析システムで観測されたスキャンを特徴ごとにプロファイリングし、ミクロ解析システムでマルウェアから抽出されたスキャンのプロファイルとの照合を行い、類似したプロファイルを持つマルウェアを候補として探し出していきます。このように、マクロ解析とミクロ解析の結果を融合することで、発生中のインシデントとその原因となるマルウェアの特定が可能となり、さらには特定されたマルウェアに応じた対策を導き出すことが可能となります。

より精度の高いインシデント対策へ

マクロ解析システムによるネットワーク観測とミクロ解析システムによるマルウェア解析の結果を突き合わせて、セキュリティインシデントの早期発見、原因究明、対策法の導出を目指すインシデント分析センターnicterについて紹介しました。 今後の研究開発では、より精度の高いインシデント対策の実時間での提供を目指していきます。


Profile

大高 一弘 大高 一弘(おおたか かずひろ)
情報通信セキュリティ研究センター インシデント対策グループ 研究マネージャー
1980年電波研究所(現NICT入所)。電離圏電波伝搬の研究、南極オーロラレーダ開発に従事。31次及び36次隊で南極越冬隊に参加。宇宙天気予報研究の後、現在はインシデント分析センターnicterの研究開発に従事。
独立行政法人
情報通信研究機構
総合企画部 広報室
広報室メールアドレス
Copylight National Institure of Informationand Communications Technology.All Rights Reserved.
NICT ホームページ 前のページ 次のページ 前のページ 次のページ