デモ中に不正な通信--つながるセキュリティがInteropでとらえたリアルな攻撃

　千葉・幕張メッセで6月7～9日に開催されている「Interop Tokyo 2017」では、最新のネットワーク技術と並んで先進的なセキュリティ対策技術も数多く出展されている。中でも来場者の注目を集めたのが、情報通信研究機構（NICT）が開発する出展社のセキュリティ製品とも連携可能な監視や分析のシステム群だ。

　NICTが今回展示したのは、サイバー攻撃監視・分析の「NICTER」、攻撃アラートの「DAEDALUS」、統合分析プラットフォーム「NIRVANA改」、攻撃誘引プラットフォーム「STARDUST」の4つのシステム。STARDUSTは初の出展になる。

見えないサイバー攻撃を可視化

　これらの中で最も開発の歴史が長いNICTERは、「ダークネット」と呼ばれる約30万の未使用のIPアドレスに対する無差別型サイバー攻撃を常時監視し、攻撃元や標的ポートなどの分析情報をリアルタイムに提供している。

　NICTによると、NICTERで2016年に観測された年間の総パケット数は約1281億パケットで、2015年の約545.1億パケットから2.2倍に増加し、1つのIPアドレスあたりでも倍増した。この増加要因となっているのが、マルウェアに感染したウェブカメラなどのIoTデバイスだという。

　NICTERの観測では、ウェブカメラなどへのTelnet接続で使用されるポート23/TCPが全体の約53％を占め、中国メーカー製のルータで使われるポート53413/UDPが約7％で2番目に多い。IoTデバイスで利用されるこの2つのポートに対する攻撃が約64％を占めていた。

　NICTはNICTERの機能強化を毎年行い、最新版では2016年に出現したIoTマルウェア「Mirai」に感染したとみられる機器からの通信をリアルタイムに表示する機能を搭載する。Interop会場では、NICTERが感染先を広げるMiraiの膨大な攻撃の状況を可視化する様子が披露された。

NICTERでは、マルウェア「Mirai」に感染した機器からの通信を表示

　無差別型攻撃の観測を対象とするNICTERとは異なり、組織に対する標的型攻撃の観測を目的に開発されたのが、初出展となるSTARDUSTだ。NICTは、日本で標的型攻撃の存在が本格的に知られるようになった2011年にSTARDUSTの開発をスタートしたという。

　一般的に標的型攻撃は、攻撃者が組織内部から機密情報などを搾取する目的で、長期間にわたって潜伏し、徐々に侵入範囲を広げることから、その動きを捉えるのが非常に難しいとされる。被害範囲は少数の組織にとどまり、被害に遭った組織がその実態を公表するケースも少ないため、STARDUSTの開発では標的型攻撃の全容を詳細に監視する仕組みの検討に時間を要したようだ。

　STARDUSでは、実ネットワークのIPアドレスを用いた「並行ネットワーク」と呼ばれる仮想空間に組織のIT環境を再現させることができる。外部から侵入する攻撃者を並行ネットワークの環境に誘い込み、その内部で侵入範囲を広げる行為やデータ、ファイルなどへのアクセス、おとりのデータの外部送信といった活動を監視することで、攻撃の全容が詳しく分かるようになった。

STARDUSTに誘導された攻撃者が実際に行ったというファイルアクセスの内容

　実際の攻撃を対象に行った予備誘引実験の結果では、標的型攻撃にまつわる"通説"とは違った傾向がみられたという。

　例えば、「高度な標的型攻撃は国家が関与している」といった通説に対しては、STARDUSの観測ではマニュアルに沿って似たような攻撃手法が何度も実行されており、国家が関与しているかのような特殊性は認められなかった。また、「攻撃者が検知を逃れるために巧妙な手口を駆使する」という説でも、実際には正規のユーザーが用いないようなコマンドを多用していることが分かった。

　こうしたことから、通説に沿うような標的型攻撃は、実際にはそれほど多くはないとみられる。NICTはネットワークやエンドポイントにおけるセキュリティ対策を適切に講じることが大切だとアドバイスする。