可視化技術が切り開く 未来のネットワークセキュリティ “つながる”新産業創出セミナー 〜加速するネットワーク社会の「攻め」と「守り」〜 (2014/09/12) 独⽴⾏政法⼈ 情報通信研究機構(NICT) ネットワークセキュリティ研究所 サイバーセキュリティ研究室 笠間 貴弘 NICTER Network Incident analysis Center for Tactical Emergency Response NICTERとそのスピンオフ技術たち インシデント分析センタ NICTER 2. 対サイバー攻撃アラートシステム DAEDALUS ネットワークリアルタイム可視化システム NIRVANA 4. サイバー攻撃統合分析プラットフォーム ライブネット観測 3. ダークネット観測 1. NIRVANA改 NICTER Network Incident analysis Center for Tactical Emergency Response 近年の主なセキュリティ事案 2008 Downadup (Conficker) 大規模感染ワーム 2009 Gumblar Web媒介型攻撃 2010 Stuxnet 制御システム向けマルウェア SONYへのDDoS攻撃 ハクティビズム 標的型攻撃 サイバーエスピオナージ バンキングマルウェア オンライン銀行詐欺 遠隔操作ウイルス 愉快犯、フォレンジック リフレクター攻撃 DNSオープンリゾルバ問題 アカウントリスト攻撃 同一ID/パスワード問題 2011 2012 2013 3 NICTER Network Incident analysis Center for Tactical Emergency Response サイバー攻撃の変遷 20世紀:愉快犯/自己顕示 Richard Skrenta 世界初のウイルスElk Cloner の作者(当時高校生) 21世紀:経済犯 + Anonymous 2010年代: 示威活動(Hacktivism) 諜報活動(Cyber Espionage) 4 NICTER Network Incident analysis Center for Tactical Emergency Response サイバー攻撃のツール:マルウェア • Malware = Malicious(悪意のある)+ Software - 情報漏えいやデータの破壊・改竄、他のコンピュータへの攻撃 など、ユーザの望まない不正な活動を行うソフトウェアの総称 コンピュータウイルス ボット ワーム 5 NICTER Network Incident analysis Center for Tactical Emergency Response インシデント分析センタ NICTER 概要 NICTER = Network Incident analysis Center for Tactical Emergency Response ⽬的: 広域ネットワークにおけるセキュリティインシデント (セキュリティ事故) の迅速な状況把握・原因究明・対策導出 主要コンポーネント: • マクロ解析システム • ミクロ解析システム • マクローミクロ相関分析システム (ネットワークモニタリング) (マルウェア解析) (マクロとミクロの融合) 6 NICTER Network Incident analysis Center for Tactical Emergency Response NICTERの全体像 マクロ解析システム 可視化エンジン ウイルス ネットワーク モニタリング ボット ! 分析エンジン Tiles Cube Atlas ワーム 24万アドレスからなる ダークネット観測網 現 象 相関分析 システム インシデント ハンドリングシステム 1日7000検体の マルウェア解析能力 30秒〜1 分で マルウェアを推定 政府・官公庁 ! インシデント アラート発行 相関分析 エンジン 原 因 Alert ---------------------------------- 分析者ワークベンチ インターネット サービスプロバイダ ミクロ解析システム マルウェア 検体収集 ハニーポット マルウェア 静的解析 ! マルウェア 動的解析 一般ユーザ 7 NICTER Network Incident analysis Center for Tactical Emergency Response IPアドレス と ポート番号 • IPアドレス: インターネット上の⼀意の識別⼦(住所) • ポート番号: サービスを特定するための番号(窓) 20番ポート (ファイル転送 データ) 21番ポート (ファイル転送 制御) 53番ポート (DNS) IP アドレス 192.168.1.100 25番ポート (メール) 80番ポート (WWW) 119番ポート (ネットニュース) 8 NICTER Network Incident analysis Center for Tactical Emergency Response ネットワークスキャン と ポートスキャン • ポートスキャン • ネットワークスキャン 1ホストに対して複数のポートをスキャン 80番ポート Open 25番ポート Closed 複数のホストの特定のポートをスキャン 100 101 102 103 100 192.168.1.100:80 Open 192.168.1.101:80 Closed 192.168.1.102:80 Closed 192.168.1.103:80 Open … 9 NICTER Network Incident analysis Center for Tactical Emergency Response ダークネットとは? • ユーザマシンやサーバが接続されていない 未使用アドレスブロック • ダークネットトラフィックはなぜ発生? マルウェアによるスキャンや攻撃 DDoS攻撃の跳ね返り(Backscatter) 設定ミス • ダークネット観測のメリット 1. 通信の秘密に抵触しない → 2. ネットワークの端点で自分宛の通信のみ観測。 観測データに正・不正の区別がいらない → 3. Darknet 飛んで来たものは全て不正な通信。 パッシブモニタリング → 待っているだけで定常的に通信が到来。 10 NICTER Network Incident analysis Center for Tactical Emergency Response Atlas: 世界地図上での可視化エンジン ダークネットに飛来する パケットの送信元アドレス から緯度・経度を推定し 世界地図上で可視化 色:パケットごとに プロトコルやTCPのフラグ を表現 高度:ポート番号に比例 (対数軸) ■ TCP SYN ■ TCP SYN/ACK ■ TCP ACK ■ TCP FIN ■ TCP RESET ■ TCP PUSH ■ TCP Other ■ UDP ■ ICMP 11 NICTER Network Incident analysis Center for Tactical Emergency Response NICTERダークネット観測統計 年 年間 総観測パケット数 観測IPアドレス数 1 IPアドレス当たりの 年間総観測パケット数 2005 約 3.1億 約1.6万 約1.9万 2006 約 8.1億 約10万 約1.7万 2007 約19.9億 約10万 約2.0万 2008 約22.9億 約12万 約2.5万 2009 約35.7億 約12万 約6.4万 2010 約56.5億 約12万 約7.5万 2011 約45.4億 約12万 約6.0万 2012 約77.9億 約19万 約6.6万 2013 約128.8億 約21万 約9.3万 100000 90000 80000 70000 60000 50000 40000 30000 20000 10000 0 2005 2006 2007 2008 2009 2010 2011 1 IPアドレスあたりの年間総観測パケット数 2012 2013 12 NICTER Network Incident analysis Center for Tactical Emergency Response Cube: 3次元空間上での可視化エンジン 縦軸:IPアドレス 横軸:ポート番号 ■ TCP SYN ■ TCP SYN/ACK ■ TCP ACK ■ TCP FIN ■ TCP RESET ■ TCP PUSH ■ TCP Other ■ UDP ■ ICMP Destination IP Address 左平面:送信元 右平面:宛先 Source IP Address ダークネットに飛来する パケットを3次元の 立方体中に可視化 13 NICTER Network Incident analysis Center for Tactical Emergency Response Tiles: 振舞分析エンジン 1ホストごとの30秒間の挙動を1つのタイルで表現 ホストの挙動は自動分類されデータベースに蓄積される 蓄積された情報を基に新規の攻撃パターンを検出可能 14 NICTER Network Incident analysis Center for Tactical Emergency Response 狙われる組込みシステム • 制御システム向けマルウェア – イランの核施設を狙った攻撃(Stuxnet) • デフォルトID・パスワードを悪⽤するマルウェア – Chuck Norrisボットネット – Carnaボットネット(世界中で42万台以上もの機器が感染) • 脆弱性を狙った攻撃事例 – – – – Synology社製のNASの脆弱性 ルータ管理画⾯のCGI脆弱性 ビル管理システムの脆弱性 Cisco、Linksysなどのルータのテストインタフェースの脆弱性 15 NICTER Network Incident analysis Center for Tactical Emergency Response Telnet(23/TCP)に対するスキャン ユニークホスト数/⽇ パケット数/⽇ パケット数(左軸) ユニークホスト数(右軸) 16 NICTER Network Incident analysis Center for Tactical Emergency Response 検索エンジンSHODAN • SHODAN: – インターネット上でアクセス可能な機器とそのバナー情報を 蓄積しており、Webサイトから検索可能なサービス 17 NICTER Network Incident analysis Center for Tactical Emergency Response ダークネットの攻撃元とSHODANリストとの突合 インターネットに繋がった組込みシステムが スキャン活動に悪用されている可能性が高い 18 NICTER Network Incident analysis Center for Tactical Emergency Response 対サイバー攻撃アラートシステム DAEDALUS (Direct Alert Environment for Darknet And Livenet Unified Security) NICTER Network Incident analysis Center for Tactical Emergency Response マルウェア感染対策の現状 – 境界防御の限界 • 突破される従来の防御手法 – 回避される侵入検知システム • USBメモリによるネットワーク内部からの感染 • 標的型メールによる「人」への攻撃 – 完璧ではないアンチウイルスソフト • 膨大な亜種ウイルスの出現により100%の検知は困難 • マルウェア感染リスクのゼロ化は困難 • 事故前提のマルウェア対策が必要 20 NICTER Network Incident analysis Center for Tactical Emergency Response 境界防御技術とDAEDALUS 境界防御技術 組織外からの攻撃をネットワーク境界で検出 DAEDALUS 組織内からの攻撃をネットワーク広域で検出 NICTER 相補的 組織内ネットワーク 組織内ネットワーク 21 NICTER Network Incident analysis Center for Tactical Emergency Response 基本アイデア 登録されたIPアドレスから ダークネットに⾶んできたら アラート。 22 NICTER Network Incident analysis Center for Tactical Emergency Response 想定環境 NICTER : ライブネット : ダークネット 23 NICTER Network Incident analysis Center for Tactical Emergency Response ケース1 組織内感染(内部アラート) NICTER : ライブネット : ダークネット : 感染ホスト 24 NICTER Network Incident analysis Center for Tactical Emergency Response ケース2 組織外への攻撃(外部アラート) 観測データ NICTER : ライブネット : ダークネット : 感染ホスト 25 NICTER Network Incident analysis Center for Tactical Emergency Response ケース3 DDoS攻撃の跳ね返り(バックスキャッタ) 観測データ NICTER : ライブネット : ダークネット : DDoS 被害ホスト 26 NICTER Network Incident analysis Center for Tactical Emergency Response 膨大なアラートが。。。 ほとんど未読 orz … DAEDALUS-VIZ 27 NICTER Network Incident analysis Center for Tactical Emergency Response DAEDALUSの成果展開:国内展開 地方自治体へのアラート提供 • 2013年11月1日より、地方自治体に向けてアラート送信開始 – 地方公共団体情報システム機構(J-LIS)を窓口として自治体より申込受付 – アラート発生時の対応マニュアルをNICTとJ-LISで整備 地方自治体 自治体 自治体 47自治体 (2013年11月時点) 203自治体 J-LIS NICT 情報セキュリティ対策支援 申込申請 サイバー攻撃検知通報 (フィールド実証実験) 観測対象 登録申請 DAEDALUS システム 対応 マニュアル (2014年8月時点) アラート送信 28 NICTER Network Incident analysis Center for Tactical Emergency Response DAEDALUSの成果展開:商用展開 一般企業へのアラート提供 • SiteVisor: DAEDALUSに基づく商用アラートサービス • SiteVisor Professional: インシデント発生時のレスポンスサービス 『SiteVisor』 『SiteVisor Professional』 29 NICTER Network Incident analysis Center for Tactical Emergency Response ネットワークリアルタイム可視化システム NIRVANA (nicter real-network visual analyzer) サイバー攻撃統合分析プラットフォーム NIRVANA改 NICTER Network Incident analysis Center for Tactical Emergency Response NIRVANA ライブ ネットを ⾒える化 ネットワーク管理者 の負荷を軽減 (輻輳・切断等の障害、 設定ミス等を瞬時に発⾒可能) パケットモード 管理コスト の軽減 (管理の迅速化 ・効率化) フローモード 31 NICTER Network Incident analysis Center for Tactical Emergency Response 標的型攻撃 • • • 特定組織を標的にした長期に渡る執拗なサイバー攻撃 周到な内容のメールに添付されたマルウェアで組織に侵攻 組織内ネットワークに潜伏・浸透し重要情報を収奪 標的型攻撃のKill Chain 諜報 侵攻 潜伏 橋頭堡 確保 索敵 浸透 TECH.ASCII.jp「9.5社に1社が対象に!シマンテックが明かす日本の標的型攻撃」 http://ascii.jp/elem/000/000/652/652712/ (2011-11-30) 占領 収奪 撤収 32 NICTER Network Incident analysis Center for Tactical Emergency Response 入口対策/出口対策 諜報 入口 出口 (境界防御) (境界防御) 侵攻 潜伏 橋頭堡 確保 索敵 浸透 占領 収奪 撤収 ネットワークの内側でも対策を! (組織内ネットワークのリアルタイム観測・分析) NIRVANA 改 = NIRVANA + セキュリティ分析機能 33 NICTER Network Incident analysis Center for Tactical Emergency Response NIRVANA改 • • • • • NIRVANAによるライブネット観測 各種のリアルタイム分析エンジン(新規開発中) 既存セキュリティアプライアンスのアラート集約 各種アラートを基にしたメタ分析 ドリルダウン機能付き可視化エンジン 組織内ネットワークを守る 統合分析プラットフォーム の確立に向けて研究開発中 34 NICTER Network Incident analysis Center for Tactical Emergency Response NIRVANA改 NIRVANA改 • • • • • NIRVANAによるライブネット観測 各種のリアルタイム分析エンジン(新規開発中) 既存セキュリティアプライアンスのアラート集約 各種アラートを基にしたメタ分析 ドリルダウン機能付き可視化エンジン 組織内ネットワークを守る 統合分析プラットフォーム の確立に向けて研究開発中 35 NICTER Network Incident analysis Center for Tactical Emergency Response まとめ • NICTER – ⽇本最⼤のダークネット観測網+マルウェアの⾃動収集・解析 – 相関分析によるインシデント原因の推定 – 多くの外部連携とスピンアウト技術たち • サイバー攻撃の可視化のメリット: – 訴求⼒(攻撃の実態・対策の重要性に対する認識を促す) – 理解⼒(迅速な状況把握、⼈間の「気づき」の能⼒を最⼤化する) – 求⼼⼒(次世代の研究者を惹き付ける) Made in Japanのサイバーセキュリティ技術を 日本に、そして世界に! 36 NICTER Network Incident analysis Center for Tactical Emergency Response
© Copyright 2024 Paperzz
