可視化技術が切り開く未来のネットワークセキュリティつながる新産業創出セミナー加速するネットワーク社会の攻めと守り (2014/09/12) 独政法情報通信研究機構 (NICT) ネットワークセキュリティ研究所サイバーセキュリティ研究室笠間貴弘 NICTER Network Inci

(1)

NICTER

Network Incident analysis Center for Tactical Emergency Response

可視化技術が切り開く

未来のネットワークセキュリティ

独⽴⾏政法⼈情報通信研究機構（NICT）

ネットワークセキュリティ研究所サイバーセキュリティ研究室笠間貴弘

“つながる”新産業創出セミナー

〜加速するネットワーク社会の「攻め」と「守り」〜

（2014/09/12）

(2)

NICTER とそのスピンオフ技術たち

3. ネットワークリアルタイム可視化システム

NIRVANA

2. 対サイバー攻撃アラートシステム

DAEDALUS

1. インシデント分析センタ

NICTER

4. サイバー攻撃統合分析プラットフォーム

NIRVANA 改

ダークネット観測ライブネット観測

(3)

NICTER

2008 Downadup (Conficker)

大規模感染ワーム

2009 Gumblar

Web媒介型攻撃

2010 Stuxnet

制御システム向けマルウェア

2011 SONYへのDDoS攻撃

ハクティビズム

標的型攻撃

サイバーエスピオナージ

2012 バンキングマルウェア

オンライン銀行詐欺

遠隔操作ウイルス

愉快犯、フォレンジック

2013 リフレクター攻撃

DNSオープンリゾルバ問題

アカウントリスト攻撃

同一ID/パスワード問題

近年の主なセキュリティ事案

3

(4)

サイバー攻撃の変遷

 20 世紀：愉快犯 / 自己顕示

 21 世紀：経済犯

Richard Skrenta

世界初のウイルスElk Cloner の作者（当時高校生）

 2010 年代：示威活動（ Hacktivism ）

諜報活動（ Cyber Espionage ）

+ _Anonymous

4

(5)

NICTER

• Malware = Malicious( 悪意のある )+ Software

- 情報漏えいやデータの破壊・改竄、他のコンピュータへの攻撃など、ユーザの望まない不正な活動を行うソフトウェアの総称

サイバー攻撃のツール：マルウェア

コンピュータウイルス

ボットワーム ₅

(6)

インシデント分析センタ NICTER _概要

⽬的：広域ネットワークにおけるセキュリティインシデント

( セキュリティ事故 ) の迅速な状況把握・原因究明・対策導出

主要コンポーネント：

•

マクロ解析システム（ネットワークモニタリング）

•

ミクロ解析システム（マルウェア解析）

•

マクローミクロ相関分析システム（マクロとミクロの融合）

NICTER = Network Incident analysis Center for Tactical Emergency Response

6

(7)

NICTER

NICTER _の全体像

相関分析システム

相関分析エンジン

分析者ワークベンチ

政府・官公庁

一般ユーザインターネットサービスプロバイダインシデント

アラート発行

インシデント

ハンドリングシステム

現象

原因

!

マクロ解析システム

可視化エンジン分析エンジン

Tiles Cube Atlas

ミクロ解析システム

マルウェア静的解析マルウェア動的解析ネットワーク

モニタリング

マルウェア検体収集ウイルス

ボット

ワーム

ハニーポット

Alert --- --- ---

24万アドレスからなるダークネット観測網

1日7000検体のマルウェア解析能力

30秒〜1 分でマルウェアを推定

7

(8)

IPアドレスとポート番号

• IP アドレス：インターネット上の⼀意の識別⼦（住所）

• ポート番号：サービスを特定するための番号（窓）

80

番ポート

(WWW) 25番ポート

(メール) 119番ポート

(ネットニュース) 20番ポート

(ファイル転送データ) 21番ポート

(ファイル転送制御)

53

番ポート

(DNS)

IP アドレス 192.168.1.100

8

(9)

NICTER

ネットワークスキャンとポートスキャン

9 • ポートスキャン

1

ホストに対して複数のポートをスキャン

• ネットワークスキャン

複数のホストの特定のポートをスキャン

80

番ポート

Open

25

番ポート

Closed

192.168.1.100:80 Open 192.168.1.101:80 Closed 192.168.1.102:80 Closed 192.168.1.103:80 Open … 100

101

102

103

100

(10)

ダークネットとは？

10 • ユーザマシンやサーバが接続されていない未使用アドレスブロック

• ダークネットトラフィックはなぜ発生？



マルウェアによるスキャンや攻撃



DDoS攻撃の跳ね返り（Backscatter）



設定ミス

• ダークネット観測のメリット

1. 通信の秘密に抵触しない

→ ネットワークの端点で自分宛の通信のみ観測。

2. 観測データに正・不正の区別がいらない

→ 飛んで来たものは全て不正な通信。

3. パッシブモニタリング

→ 待っているだけで定常的に通信が到来。

Darknet

(11)

NICTER

Atlas : 世界地図上での可視化エンジン

11 ■ TCP SYN

■ TCP SYN/ACK

■ TCP ACK

■ TCP FIN

■ TCP RESET

■ TCP PUSH

■ TCP Other

■ UDP

■ ICMP

 ダークネットに飛来するパケットの送信元アドレスから緯度・経度を推定し世界地図上で可視化

 色：パケットごとに

プロトコルやTCPのフラグを表現

 高度：ポート番号に比例

（対数軸）

(12)

NICTER _{ダークネット観測統計}

年年間

総観測パケット数観測

IP

アドレス数

1 IP

アドレス当たりの年間総観測パケット数

2005

約

3.1

億約

1.6

万約

1.9

万

2006

約

8.1

億約

10

万約

1.7

万

2007

約

19.9

億約

10

万約

2.0

万

2008

約

22.9

億約

12

万約

2.5

万

2009

約

35.7

億約

12

万約

6.4

万

2010

約

56.5

億約

12

万約

7.5

万

2011

約

45.4

億約

12

万約

6.0

万

2012

約

77.9

億約

19

万約

6.6

万

2013

約

128.8

億約

21

万約

9.3

万

0 10000 20000 30000 40000 50000 60000 70000 80000 90000 100000

2005 2006 2007 2008 2009 2010 2011 2012 2013

1 IPアドレスあたりの年間総観測パケット数 12

(13)

NICTER

Cube : 3次元空間上での可視化エンジン

13 Source IP Address Destination IP Address

■ TCP SYN

■ TCP SYN/ACK

■ TCP ACK

■ TCP FIN

■ TCP RESET

■ TCP PUSH

■ TCP Other

■ UDP

■ ICMP

 ダークネットに飛来するパケットを3次元の

立方体中に可視化

 左平面：送信元右平面：宛先

 縦軸：IPアドレス

横軸：ポート番号

(14)

14 Tiles : 振舞分析エンジン

 1ホストごとの30秒間の挙動を1つのタイルで表現

 ホストの挙動は自動分類されデータベースに蓄積される

 蓄積された情報を基に新規の攻撃パターンを検出可能

(15)

NICTER

狙われる組込みシステム

• 制御システム向けマルウェア

–

イランの核施設を狙った攻撃（

Stuxnet

）

• デフォルト ID ・パスワードを悪⽤するマルウェア

– Chuck Norris

ボットネット

– Carna

ボットネット（世界中で

42

万台以上もの機器が感染）

• 脆弱性を狙った攻撃事例

– Synology

社製の

NAS

の脆弱性

–

ルータ管理画⾯の

CGI

脆弱性

–

ビル管理システムの脆弱性

– Cisco

、

Linksys

などのルータのテストインタフェースの脆弱性

15

(16)

Telnet（23/TCP）に対するスキャン

16

パケット数／⽇ユニークホスト数／⽇

パケット数（左軸）

ユニークホスト数（右軸）

(17)

NICTER

検索エンジンSHODAN

• SHODAN ：

–

インターネット上でアクセス可能な機器とそのバナー情報を蓄積しており、

Web

サイトから検索可能なサービス

17

(18)

ダークネットの攻撃元とSHODANリストとの突合

18 インターネットに繋がった組込みシステムが

スキャン活動に悪用されている可能性が高い

(19)

NICTER

対サイバー攻撃アラートシステム

DAEDALUS

(Direct Alert Environment for

Darknet And Livenet Unified Security)

(20)

マルウェア感染対策の現状 – 境界防御の限界 -

• 突破される従来の防御手法

– 回避される侵入検知システム

• USBメモリによるネットワーク内部からの感染

• 標的型メールによる「人」への攻撃

– 完璧ではないアンチウイルスソフト

• 膨大な亜種ウイルスの出現により100%の検知は困難

• マルウェア感染リスクのゼロ化は困難

• 事故前提のマルウェア対策が必要

20

(21)

NICTER

境界防御技術とDAEDALUS

DAEDALUS

組織内ネットワーク

境界防御技術

組織内ネットワーク組織外からの攻撃をネットワーク境界で検出

相補的

NICTER

組織内からの攻撃をネットワーク広域で検出

21

(22)

基本アイデア

登録された IP アドレスから

ダークネットに⾶んできたら

アラート。

22

(23)

NICTER

想定環境

23 : ダークネット

: ライブネット

(24)

NICTER

組織内感染（内部アラート）

24 :

感染ホスト

ケース1

: ダークネット

: ライブネット

(25)

NICTER

組織外への攻撃（外部アラート）

25

観測データ

ケース2

:

感染ホスト

: ダークネット

: ライブネット

(26)

26 DDoS攻撃の跳ね返り（バックスキャッタ）

NICTER

観測データ

: DDoS

被害ホスト

ケース3

: ダークネット

: ライブネット

(27)

NICTER

27 膨大なアラートが。。。

ほとんど未読 orz …

DAEDALUS-VIZ

(28)

DAEDALUS の成果展開：国内展開

地方自治体へのアラート提供

28 • 2013 年 11 月 1 日より、地方自治体に向けてアラート送信開始

– 地方公共団体情報システム機構（J-LIS）を窓口として自治体より申込受付 – アラート発生時の対応マニュアルをNICTとJ-LISで整備

自治体自治体 J-LIS

情報セキュリティ対策支援

サイバー攻撃検知通報

（フィールド実証実験）

NICT

DAEDALUS システム

地方自治体

申込申請観測対象

登録申請

アラート送信

47自治体

（2013年11月時点）

203自治体

（2014年8月時点）

対応マニュアル

(29)

NICTER

29

『SiteVisor』『SiteVisor Professional』

DAEDALUS の成果展開：商用展開

一般企業へのアラート提供

• SiteVisor：

DAEDALUSに基づく商用アラートサービス

• SiteVisor Professional：

インシデント発生時のレスポンスサービス

(30)

ネットワークリアルタイム可視化システム

NIRVANA

(nicter real-network visual analyzer)

サイバー攻撃統合分析プラットフォーム

NIRVANA 改

(31)

NICTER

NIRVANA

ネットをライブ

⾒える化

ネットワーク管理者の負荷を軽減

（輻輳・切断等の障害、

設定ミス等を瞬時に発⾒可能）

管理コスト

（管理の迅速化

の軽減

・効率化）

パケットモード フローモード

31

(32)

標的型攻撃

• 特定組織を標的にした長期に渡る執拗なサイバー攻撃

• 周到な内容のメールに添付されたマルウェアで組織に侵攻

•

組織内ネットワークに潜伏・浸透し重要情報を収奪

標的型攻撃のKill Chain

諜報侵攻潜伏 ^橋頭堡_確保索敵浸透占領収奪撤収

TECH.ASCII.jp「9.5社に1社が対象に！シマンテックが明かす日本の標的型攻撃」

http://ascii.jp/elem/000/000/652/652712/ （2011-11-30）

32

(33)

NICTER

入口対策/出口対策

諜報侵攻潜伏 ^橋頭堡_確保索敵浸透占領収奪撤収

入口

（境界防御）

出口

（境界防御）

ネットワークの内側でも対策を！

（組織内ネットワークのリアルタイム観測・分析）

NIRVANA 改

= NIRVANA + セキュリティ分析機能

33

(34)

NIRVANA 改

• NIRVANA によるライブネット観測

• 各種のリアルタイム分析エンジン（新規開発中）

• 既存セキュリティアプライアンスのアラート集約

• 各種アラートを基にしたメタ分析

• ドリルダウン機能付き可視化エンジン

組織内ネットワークを守る

統合分析プラットフォーム

の確立に向けて研究開発中

34

(35)

NICTER

NIRVANA 改

• NIRVANA によるライブネット観測

• 各種のリアルタイム分析エンジン（新規開発中）

• 既存セキュリティアプライアンスのアラート集約

• 各種アラートを基にしたメタ分析

• ドリルダウン機能付き可視化エンジン

組織内ネットワークを守る

統合分析プラットフォーム

の確立に向けて研究開発中

NIRVANA 改

35

(36)

まとめ

• NICTER

–

⽇本最⼤のダークネット観測網＋マルウェアの⾃動収集・解析

–

相関分析によるインシデント原因の推定

–

多くの外部連携とスピンアウト技術たち

• サイバー攻撃の可視化のメリット：

–

訴求⼒（攻撃の実態

・

対策の重要性に対する認識を促す）

–

理解⼒（迅速な状況把握、⼈間の「気づき」の能⼒を最⼤化する）

–

求⼼⼒（次世代の研究者を惹き付ける）

NICTER