

日本のインターネットを守るために
インターネットは今や、私たちの生活には欠かすことのできないツールとなっています。その一方でインターネットを経由したマルウェアの蔓延やそれに伴う情報漏えい、ユーザーをフィッシングサイトへと誘導する大量のスパムメール、Webサーバに対する情報改ざんやサービス不能攻撃など、様々なインシデント(セキュリティ事故)が日々発生しています。その対策は、ユーザーレベルではウイルス対策ソフトやパーソナルファイアウォール、企業などでは侵入検知システム(IDS)や侵入防止システム(IPS)などのセキュリティ技術が導入されています。これらの対策は局所的な「点」で守るセキュリティ技術で、各ユーザーや企業などの組織向けの対策です。しかし、社会インフラとしてインターネット全体を考えるとき、その安全性は点で守るだけでは十分とは言えません。 情報通信セキュリティ研究センターインシデント対策グループでは、日本のインターネットを守るための研究開発を目的に、ネットワークに対する攻撃を「点」ではなく「面」で観測する、インシデント分析センターnicter(Network Incident analysis Center for Tactical Emergency Response)の構築を行っています。
nicterの全体像
nicterは、広域のネットワーク攻撃の様子を観測 ・分析する「マクロ解析システム」、ネットワーク攻撃の原因であるマルウェアの解析を行う「ミクロ解析システム」及び攻撃の様子とその原因であるマルウェアを結び付けて原因を特定する「相関分析システム」で構成されています(図1)。
【マクロ解析システム】
インターネット全体を見渡して、インターネットに何が起こっているかをリアルタイムに観測・分析を行います。国内複数の拠点に合計12万以上のIPアドレス群のセンサーを設置して観測しています。このセンサーはダークネットと呼ばれる、インターネット上で到達可能で、かつ未使用なIPアドレス空間に設置しています。未使用のIPアドレスにパケットが送信されることは、通常のインターネット利用では起こらないのですが、実際には相当数のパケットが到達しています。これらのパケットの多くは、ネットワークを経由してマルウェアを感染させることを目的に送信されています。観測されたパケットは、可視化エンジン(Atlas, Cube, Tiles)(図2〜4)でリアルタイムにネットワーク攻撃の様子を直感的に分かりやすく表示し、観測することが可能になります。
【ミクロ解析システム】
ネットワーク攻撃の原因であるマルウェアの解析を行います。マルウェアの収集にはハニーポットやWebクローラ等を使用しています。収集されたマルウェアを自動的に解析しており、1日に約2000検体まで解析が可能です。ミクロ解析システムは静的解析エンジンと動的解析エンジンと呼ぶ2つの解析エンジンを用いて分析を行っています。
[静的解析エンジン] マルウェアの実行コードを逆アセンブルしてアセンブラレベルでマルウェアの持つ機能や特徴を詳細に解析します。得られたアセンブリコードから、マルウェアの実行コードに含まれるAPIのリストやアクセスに使用するメッセージの文字列など情報の抽出を行います。
[動的解析エンジン] マルウェアを実マシン上で実行させて、マルウェアが使用したAPIやネットワークアクセスなどの挙動を解析します。この動作を実ネットワーク環境で行うと、新たな感染活動やネットワーク攻撃を始めるため、完全に隔離した疑似ネットワーク環境を構築して解析を行っています。最近のマルウェアは、実ネットワークと疑似ネットワークの識別を行っており、本来の感染活動・ネットワーク攻撃を開始しないことが多くなっています。マルウェアがチェックに用いているDNSやIRCなどの多数のダミーサーバを用意して実インターネットをエミュレートしています。
【相関分析システム】
nicterの最大の特徴は相関分析システムです。マクロ解析システムで観測されたスキャンを特徴ごとにプロファイリングし、ミクロ解析システムでマルウェアから抽出されたスキャンのプロファイルとの照合を行い、類似したプロファイルを持つマルウェアを候補として探し出していきます。このように、マクロ解析とミクロ解析の結果を融合することで、発生中のインシデントとその原因となるマルウェアの特定が可能となり、さらには特定されたマルウェアに応じた対策を導き出すことが可能となります。
より精度の高いインシデント対策へ
マクロ解析システムによるネットワーク観測とミクロ解析システムによるマルウェア解析の結果を突き合わせて、セキュリティインシデントの早期発見、原因究明、対策法の導出を目指すインシデント分析センターnicterについて紹介しました。 今後の研究開発では、より精度の高いインシデント対策の実時間での提供を目指していきます。
Profile
大高 一弘(おおたか かずひろ)
情報通信セキュリティ研究センター インシデント対策グループ 研究マネージャー
1980年電波研究所(現NICT入所)。電離圏電波伝搬の研究、南極オーロラレーダ開発に従事。31次及び36次隊で南極越冬隊に参加。宇宙天気予報研究の後、現在はインシデント分析センターnicterの研究開発に従事。