攻撃パターンからマルウェアをリアルタイムに特定する相関分析技術を世界で初めて実現

Interop Tokyo 2010 の ShowNet において公開

2010年6月1日

独立行政法人情報通信研究機構(以下「NICT」という。理事長：宮原秀夫) は、インターネット上で発生している攻撃を観測し、その攻撃パターンから攻撃元のコンピュータに感染しているマルウェアを特定する、「マクロ-ミクロ相関分析システム」を世界に先駆けて開発しました。これにより、未知のマルウェアやゼロディ攻撃の検知、原因究明及び対策手法の導出が可能となります。また、この成果を平成 22 年 6 月 7 日から 11 日にかけて幕張メッセで開催されるネットワーク分野の世界最大規模の総合イベント Interop Tokyo 2010において公開します。

背景

現在、ウイルスやワーム、ボットといったマルウェアに起因するセキュリティインシデントが重大な社会問題となっています。このようなインシデントへの根本的な対策を行うためには、攻撃の迅速な検知及びその原因となったマルウェアの特定が必要不可欠ですが、インシデントを誘発する攻撃とマルウェアとを結びつけるための実時間・自動分析技術は世界的にも実現されていませんでした。

今回の成果

NICT では、インシデント分析システム“nicter”プロジェクトにおいてこれまでに開発したマクロ解析システム及びミクロ解析システムからの情報を統合的に突合分析することで、インシデントを誘発する攻撃の検知から原因特定までをリアルタイムで行う「マクロ-ミクロ相関分析システム」の開発に成功しました。nicter 独自のネットワーク攻撃のリアルタイム分析・可視化技術やマルウェアの自動解析技術を応用することにより、未知のマルウェアやゼロディ攻撃についても検知でき、その原因究明と対策手法の導出までを短時間で行うことが可能となります。

今後の展望

この成果を、Interop Tokyo 2010 の中核ネットワーク ShowNet において、マクロ-ミクロ相関分析システムを含む nicter の技術の実運用を公開します。同時にnicter による攻撃検知、原因分析結果は ShowNet 全体を管理するNOC(Network Operation Center)に提供され、ShowNet自体の保護にも活用される予定です。また、今後は、国内外の協力組織と連携し、nicterの観測対象ネットワークの拡大及び分析結果の展開を行い、より広範かつ高精度のセキュリティインシデント対策に取り組みます。さらに、IPv6ネットワークなどの新たな通信環境におけるセキュリティ技術の研究開発を推進します。

補足資料 “nicter”の解説

NICT 情報通信セキュリティ研究センターインシデント対策グループでは、インターネットで時々刻々発生しているセキュリティインシデントへの有効な対策を打ち出すため、インシデント分析システム nicter (Network Incident analysis Center for Tactical Emergency Response) の研究開発を進めています。

図 nicterのサブシステムの構成

nicter は、マクロ解析、ミクロ解析、マクロ-ミクロ相関分析の 3つのシステムから得られた分析結果を集約・管理するともに、分析者に対するインターフェイスを提供するインシデントハンドリングシステムの4つのサブシステムから構成されています。なお、インシデントハンドリングシステムは、分析者がインシデントレポートを作成するための補助的な役割も果たします。

マクロ－ミクロ相関分析結果の可視化の様子 (概観)

世界中から飛来する攻撃トラフィックをアニメーション表示するとともに、攻撃元コンピュータに感染したマルウェア名を動的に表示

マクロ－ミクロ相関分析結果の可視化の様子 (詳細)

個々のトラフィック (パケット) に関する感染マルウェア名だけでなく、IP アドレス、攻撃元国などの詳細な情報を表示

マクロ－ミクロ相関分析結果の可視化の様子 (地球儀バージョン)

マクロ－ミクロ相関分析の結果を様々なスタイルで可視化し、マルウェア感染の広域的なトレンドの把握から、詳細情報のドリルダウンまでを可能に

用語解説

マルウェア

ウイルス、ワーム、ボット、スパイウェアなど、情報漏えいやデータ破壊、他のコンピュータへの感染などの有害な活動を行うソフトウェアの総称であり、「mal-」＝「悪の」という接頭辞とソフトウェアの「ware」を組み合わせた造語です。マルウェアは近年、多様化・高度化する傾向にあり、セキュリティインシデントの一大原因となっています。

マクロ-ミクロ相関分析

マクロ解析システムによって検知された新たな攻撃やインシデントの予兆と、ミクロ解析システムで解析されたマルウェアの相関を調べることで、未知のマルウェアやゼロディ攻撃などの新たな脅威に対しても、その原因となったマルウェアを特定する技術です。

ゼロディ攻撃

OS やアプリケーションソフトウェアにセキュリティ上の脆弱性が発見された際に、ソフトウェアベンダ等による脆弱性の修正コードが公開されるよりも前に、その脆弱性を悪用して行われる攻撃のことを指します。修正コードが公表された日を1日目とみなし、それ以前 (ゼロまたはマイナスディ) に攻撃が行われることから、このように呼ばれます。

Interop Tokyo 2010

例年 15 万人を超える参加者を集め、300 社余りの出展社が最新のネットワーク機器やソリューションを展示し、同時に多数の講演やコンファレンス等が開催される、ネットワーク分野における世界最大規模のイベントです。

Interop Tokyo 2010 参考URL： http://www.interop.jp/

セキュリティインシデント

企業や大学等の情報通信ネットワークにおける情報漏えいやデータ改ざん、Web サービスの妨害などの情報セキュリティに関する事故を意味します。近年のインシデントの例としては、Gumblar 攻撃によるWebサイトの改ざん及びマルウェア感染や、特定の企業や国家の運営するWebサイトへのサービス妨害攻撃などがあります。

“nicter”

nicter(Network Incident analysis Center for Tactical Emergency Response)はインターネットで発生する様々なセキュリティ上の脅威を迅速に把握し、有効な対策を導出するための複合的なシステムです。ネットワーク攻撃の観測やマルウェアの収集などによって得られた情報を分析し、その原因を究明します。

マクロ解析システム

広域ネットワークを観測し、ネットワーク攻撃をリアルタイム自動分析することで、新たな攻撃の発見や、インシデントの予兆を捉えます。

ミクロ解析システム

ハニーポット等により、インシデントの原因となっているマルウェアそのものを捕捉し、自動的に解析を行います。

ShowNet

国内外のネットワークベンダが世界最先端のネットワーク機器を結集して構築する、Interopの心臓部とも言える展示会場全体のネットワークです。

参考URL：http://www.interop.jp/shownet/index.html

＜本件に関する問い合わせ先＞

情報通信セキュリティ研究センターインシデント対策グループ
井上大介、衛藤将史

Tel：042-327-6225
E-mail: