本文へ
文字サイズ:小文字サイズ:標準文字サイズ:大
  • English Top

サイバー攻撃源の逆探知システムの開発と実験に成功

〜 世界初、広域インターネット環境下で逆探知を実証 〜

  • 印刷
2009年11月26日

日本電気株式会社、国立大学法人奈良先端科学技術大学院大学、パナソニック電工株式会社、株式会社クルウィット、財団法人日本データ通信協会、株式会社KDDI研究所は、インターネットでのサイバー攻撃源を逆探知するトレースバック技術を開発しました。また、実際に稼働中のインターネット環境(以下「実インターネット環境」)で逆探知実験を行い、有効性と実用性を実証しました。

不正アクセス等のサイバー攻撃は発信源を隠蔽、詐称することが通常です。本技術では、そのような攻撃であってもパケットの痕跡をたどり、発信源を素早く突き止めることが可能です。また、今回のような実インターネット環境における、複数のインターネット接続事業者(以下「ISP」)にまたがるトレースバック実験は世界初の試みです。

なお、本研究の成果は、独立行政法人情報通信研究機構(以下「NICT」)の委託研究「インターネットにおけるトレースバック技術に関する研究開発」にて得られたものです。

背景

近年、コンピュータウイルスやDoS(Denial of Service:サービスの妨害)攻撃DDoS(Distributed DoS:分散型サービス妨害)攻撃など、インターネット上の犯罪や事故は増大しており、社会インフラとしての安全対策が求められています。しかし、インターネット上の住所であるIPアドレスの書き換えなど、発信源が隠蔽、詐称されている場合には特定が困難であり、対策が望まれています。

これに対しNICTでは、平成17年度から平成21年度まで「インターネットにおけるトレースバック技術に関する研究開発」を実施しています。IPアドレスが詐称されている状態で攻撃元を特定するには、どこからどのような経路で通信が行われているのかを把握する必要があります。また、セキュリティポリシーやプライバシーポリシーの異なる複数のISPが連携し、通信の秘匿性を確保する必要もあります。

今回の成果

本トレースバックの研究では、以下の技術を開発し、システム構成や運用手順を策定して実験を行いました。

サイバー攻撃に関連するパケット情報を匿名化するなど、通信の秘匿性を確保しながら、そのパケットの痕跡をたどっていくことを可能とする技術

膨大な痕跡の中から追跡すべきパケットの情報を効率良く探し出し、迅速な事案対処を可能とする技術

複数ISP間で協力するには運用面や制度面での課題があるが、これらを考慮したシステム構成や運用手順の検討

今回の実証実験では、北海道から沖縄まで全国に所在する15社のISPの協力を基に、発信源のIPアドレスが詐称されたパケットによる模擬サイバー攻撃を発生させ、逆探知に成功しました。このような実インターネット環境において、複数のISPにまたがるトレースバック実験は、海外においても例がなく世界で初めての試みです。

今後の展開

本研究開発は、複数のISPの管理するネットワークを超えて、不正アクセスの発信源を追跡し逆探知が可能なことを実証しました。これにより、発信源への迅速な対処が可能になるとともに、サイバー攻撃に対する大きな抑止効果となり、より安全で安心なインターネット環境の実現につながります。

トレースバック相互接続システムのソフトウェアを、以下のURLにおいてオープンソースとして公開しています。

補足説明

トレースバック実証実験システム
トレースバック実証実験の動作概要

システムの動作概要(実証実験の開始により以下の動作が開始される)

(1)パケット収集システムによるハッシュ値の算出と保管を開始する。
(2)IDS(Intrusion Detection System)が模擬攻撃パケットの検出を開始する。模擬攻撃パケットを検出した場合、模擬攻撃パケットのハッシュ値を算出し、トレースバック相互接続システムへ提供する。
※IDS:ネットワークを流れるパケットを監視して、不正アクセスと思われるパケットを発見した場合に管理者に通報するシステム。
(3)トレースバック相互接続システムは提供されたハッシュ値をもとにトレースバック相互接続システム間で問い合わせを行い、その結果得られた模擬攻撃パケットの経路情報をトレースバック管理センターのトレースバック検索システムへ登録する。

実証実験参加者のオペレーション概要

(イ)ISP-Aの真の攻撃者役が発信元のIPアドレスをISP-Bの見せかけの攻撃者役のIPアドレスに詐称して、ISP-Cの被害者役宛の模擬攻撃パケットの送出を開始する。
(ロ)被害者役が模擬攻撃を検知し、ISP-Cの担当者に問題の解決を要請する。
(ハ)ISP-Cの担当者は被害者役からの要請により、模擬攻撃パケットのハッシュ値を確認し、トレースバック管理センターに模擬攻撃パケットの探索を依頼する。
(ニ)探索依頼を受けたトレースバック管理センターは、トレースバック検索システムを利用して模擬攻撃元を探索し、ISP-Aであることを特定する。
(ホ)模擬攻撃元を特定したトレースバック管理センターは、模擬攻撃元のISP-Aの担当者に模擬攻撃の停止の対処依頼をする。ISP-Aの担当者が真の攻撃者役に対して模擬攻撃パケットの送出を停止するように依頼する。


参考)
パケットヘッダーにある発信元のIPアドレスでトレースするのではなく、通過したパケットのハッシュ値を痕跡としてトレースをするので、発信元のIPアドレスが詐称されていても発信源を特定することが可能となっている。

用語解説

トレースバック

トレースバックとは追跡のことを指し、インターネットにおけるトレースバックでは、実際にどこからパケットが送られてきたのか、通信経路を追跡して発信源をつきとめること。

インターネット接続事業者(ISP)

インターネット接続事業者(Internet Service Provider:ISP)とは、電話回線や光ファイバー回線などを通じて、インターネットへの接続を提供する事業者のこと。

DoS(Denial of Service:サービスの妨害)攻撃

サーバなどのネットワークを構成する機器に対して、サービスの提供を不能な状態にする攻撃のこと。

DDoS(Distributed DoS:分散型サービス妨害)攻撃

複数のコンピュータにより、標的とされたサーバ等に行うDoS攻撃のこと。

ハッシュ値

加工前の情報(パケットヘッダー情報)から特定の処理を行うことで算出された値。データ量が縮減されるとともに、不可逆性・匿名性を持つ。



本件に関する 問い合わせ先

日本電気株式会社

知的資産R&D 企画本部 広報グループ
http://www.nec.co.jp/contact/

報道関係 問い合わせ先

日本電気株式会社

コーポレートコミュニケーション部 山梨
Tel.03-3798-6511
E-mail:

国立大学法人奈良先端科学技術大学院大学

企画総務課 広報渉外係 藤里
Tel.0743-72-5026
E-mail:

パナソニック電工株式会社

広報部 吉田
Tel.06-6909-7187
E-mail:

株式会社クルウィット

担当 国峯
E-mail:

財団法人日本データ通信協会

トレースバック担当
E-mail:

株式会社KDDI 研究所

営業企画グループ 前川
Tel.049-278-7545
E-mail:

独立行政法人情報通信研究機構

総合企画部 広報室 担当 廣田
Tel.042-327-6923
E-mail: