現在、ウイルスやワーム、ボットといったマルウェアに起因するセキュリティインシデントが重大な社会問題となっています。このようなインシデントへの根本的な対策を行うためには、攻撃の迅速な検知及びその原因となったマルウェアの特定が必要不可欠ですが、インシデントを誘発する攻撃とマルウェアとを結びつけるための実時間・自動分析技術は世界的にも実現されていませんでした。
独立行政法人 情報通信研究機構(以下「NICT」という。理事長:宮原 秀夫) は、インターネット上で発生している攻撃を観測し、その攻撃パターンから攻撃元のコンピュータに感染しているマルウェアを特定する、「マクロ-ミクロ相関分析システム」を世界に先駆けて開発しました。これにより、未知のマルウェアやゼロディ攻撃の検知、原因究明及び対策手法の導出が可能となります。また、この成果を平成 22 年 6 月 7 日から 11 日にかけて幕張メッセで開催されるネットワーク分野の世界最大規模の総合イベント Interop Tokyo 2010において公開します。
この成果を、Interop Tokyo 2010 の中核ネットワーク ShowNet において、マクロ-ミクロ相関分析システムを含む nicter の技術の実運用を公開します。同時にnicter による攻撃検知、原因分析結果は ShowNet 全体を管理するNOC(Network Operation Center)に提供され、ShowNet自体の保護にも活用される予定です。また、今後は、国内外の協力組織と連携し、nicterの観測対象ネットワークの拡大及び分析結果の展開を行い、より広範かつ高精度のセキュリティインシデント対策に取り組みます。さらに、IPv6ネットワークなどの新たな通信環境におけるセキュリティ技術の研究開発を推進します。
NICT 情報通信セキュリティ研究センター インシデント対策グループでは、インターネットで時々刻々発生しているセキュリティインシデントへの有効な対策を打ち出すため、インシデント分析システム nicter (Network Incident analysis Center for Tactical Emergency Response) の研究開発を進めています。
nicter は、マクロ解析 、ミクロ解析 、マクロ-ミクロ相関分析の 3つのシステムから得られた分析結果を集約・管理するともに、分析者に対するインターフェイスを提供するインシデントハンドリングシステムの4つのサブシステムから構成されています。なお、インシデントハンドリングシステムは、分析者がインシデントレポートを作成するための補助的な役割も果たします。
世界中から飛来する攻撃トラフィックをアニメーション表示するとともに、攻撃元コンピュータに感染したマルウェア名を動的に表示
個々のトラフィック (パケット) に関する感染マルウェア名だけでなく、IP アドレス、攻撃元国などの詳細な情報を表示
マクロ-ミクロ相関分析の結果を様々なスタイルで可視化し、マルウェア感染の広域的なトレンドの把握から、詳細情報のドリルダウンまでを可能に
用語解説
ウイルス、ワーム、ボット、スパイウェアなど、情報漏えいやデータ破壊、他のコンピュータへの感染などの有害な活動を行うソフトウェアの総称であり、「mal-」=「悪の」という接頭辞とソフトウェアの「ware」を組み合わせた造語です。マルウェアは近年、多様化・高度化する傾向にあり、セキュリティインシデントの一大原因となっています。
OS やアプリケーションソフトウェアにセキュリティ上の脆弱性が発見された際に、ソフトウェアベンダ等による脆弱性の修正コードが公開されるよりも前に、その脆弱性を悪用して行われる攻撃のことを指します。修正コードが公表された日を1日目とみなし、それ以前 (ゼロまたはマイナスディ) に攻撃が行われることから、このように呼ばれます。
例年 15 万人を超える参加者を集め、300 社余りの出展社が最新のネットワーク機器やソリューションを展示し、同時に多数の講演やコンファレンス等が開催される、ネットワーク分野における世界最大規模のイベントです。
Interop Tokyo 2010 参考URL: http://www.interop.jp/
企業や大学等の情報通信ネットワークにおける情報漏えいやデータ改ざん、Web サービスの妨害などの情報セキュリティに関する事故を意味します。近年のインシデントの例としては、Gumblar 攻撃によるWebサイトの改ざん及びマルウェア感染や、特定の企業や国家の運営するWebサイトへのサービス妨害攻撃などがあります。
nicter(Network Incident analysis Center for Tactical Emergency Response)はインターネットで発生する様々なセキュリティ上の脅威を迅速に把握し、有効な対策を導出するための複合的なシステムです。ネットワーク攻撃の観測やマルウェアの収集などによって得られた情報を分析し、その原因を究明します。
国内外のネットワークベンダが世界最先端のネットワーク機器を結集して構築する、Interopの心臓部とも言える展示会場全体のネットワークです。
井上 大介、衛藤 将史
Tel:042-327-6225
E-mail:
報道担当 廣田 幸子
Tel:042-327-6923
E-mail: