IoTデバイスの普及によりサイバー攻撃が増加!? NICTのサイバーセキュリティ研究室 井上室長に聞いたサイバー攻撃の可視化で見えてくるもの

2015/11/27 10:56

special_inoue1

インターネットの発達によって多大な恩恵がもたらされる一方、サイバーセキュリティ対策については十分とは言いがたい現状。IoTが急速に普及してあらゆるモノがネット接続されている今、自分たちが気づかない間にハッキングされているケースが激増しています。

 

今後、より一層重要性を増すサイバーセキュリティ分野において、国内で最も先進的な研究を行っている国立研究開発法人情報通信研究機構(NICT)のネットワークセキュリティ研究所サイバーセキュリティ研究室室長である井上大介(いのうえ だいすけ)氏を訪ね、現在取り組まれているサイバーセキュリティ研究について攻殻機動隊 REALIZE PROJECT がインタビューを行いました。その模様を全3回に分けてお送りします。

 

第1回目は、井上氏が所属する情報通信研究機構(NICT)の研究内容と可視化エンジンについて。国内唯一の情報通信分野(ICT)専門の研究機関NICTでは、バイオ・ナノICT、脳情報通信融合など、攻殻機動隊の世界を体現する研究が行われていました。

国立研究開発法人情報通信研究機構(NICT)のネットワークセキュリティ研究所サイバーセキュリティ研究室室長 井上大介氏

国立研究開発法人情報通信研究機構(NICT)のネットワークセキュリティ研究所サイバーセキュリティ研究室室長 井上大介氏

 

 

―井上さんが所属されている情報通信研究機構(NICT)について教えてください。

 

NICT(National Institute of Information and Communications Technology)は日本国内では情報通信分野(ICT)を専門とする唯一の公的研究機関、つまり、国の研究機関です。

国立研究開発法人情報通信研究機構(NICT)。上部に表示されている時刻が日本標準時。

国立研究開発法人情報通信研究機構(NICT)。上部に表示されている時刻が日本標準時。

 

NICTは様々な研究フィールドがあるんですが、公共サービスとしてよく知られているものは日本標準時の生成・配信ですね。JST(日本標準時)を原子時計を使って作り、電波やインターネット経由で配信しています。

 

そのほかにも例をあげると、「光通信」の研究や、「無線通信」、「宇宙通信システム」、「サイエンスクラウド」、「電磁波センシング」、「バイオICT・ナノICT」、「脳情報通信融合」、「多言語音声翻訳」、「超臨場感コミュニケーション」、そして私の研究室で取り組んでいる「サイバーセキュリティ」などがあります。

image3

攻殻機動隊の世界に近い研究だと、細胞や生体分子システムが持つ機能のICTへの応用を研究する「バイオICT」や、非侵襲で脳波を計測する仕組みや脳機能についての研究をしている「脳情報通信融合」などがあります。これらは攻殻機動隊の世界におけるマイクロマシニングや電脳化の基盤となる技術と考えられます。攻殻機動隊で登場する技術のICT部分を研究しているのがNICTと言えるかなと思います。

 

■拡大するサイバー攻撃

 

―井上さんが所属しているサイバーセキュリティ研究室で行われている研究について教えてください。

 

サイバーセキュリティ研究室では、安心・安全にネットワークを使ってもらうための対策技術の研究開発をしています。サイバー攻撃というと一般的にはあまり馴染みはないかもしれません。ですが、あらゆるものがインターネットに繋がっていく日本では、ごく身近な脅威になってきています。

 

サイバー攻撃は20世紀までは愉快犯や自己顕示目的が多かったのですが、今は経済犯が一番多く、お金を稼ぐことが目的になっています。その攻撃対象として一般市民が狙われたり、あるいは攻撃に一般市民の機器が使われているなどのケースが実際におこっています。また、「Anonymous(アノニマス)」と呼ばれる集団のように、自らの主義主張を通すためにサイバー攻撃を行うケースも増えてきました。更に、サイバー攻撃を用いた国家間のスパイ活動も既に行われていると言われています。

 

■グローバルを観測する「NICTER」と「DAEDALUS」

 

―NICTと言えばサイバー攻撃を可視化するシステムが有名ですが、こちらについて教えていただけますでしょうか?

 

インターネットにはダークネットと呼ばれる、使われていないアドレスが存在しています。企業や教育機関など、多くの組織にはIPアドレスが大きなブロック単位で割り振られていますが、使い切っていない部分も多いんですね。そのような未使用のアドレスをお借りしてサイバー攻撃の大規模観測をしています。

 

使っていないアドレスって、パソコンもサーバーも接続されていないので、通信が飛んで来るはずがないのですが、実際に観測してみるともの凄い数の通信が飛んできているんです。そのほとんどが、ウイルスに感染している世界中のパソコンやネットワーク機器などからの通信です。それをグローバルに観測・分析しているのが「NICTER(ニクター)」。また、「NICTER」の分析結果をもとにアラート、つまり警告を送るためのメカニズムが「DAEDALUS(ダイダロス)」です。

image4

一方で、ライブネット、つまり組織の中のネットワークを観測・分析する「NIRVANA改(ニルヴァーナ・カイ)」の研究開発も進めています。これは、特定の組織をターゲットにして執拗に侵入を仕掛けてくる、いわゆる標的型攻撃に対抗するためのプラットフォームです。組織の中でローカルにサイバー攻撃を観測・分析します。

image5

■サイバー攻撃を可視化すると見えてくるもの

 

こちらが、NICTERで観測したリアルタイムに行われている攻撃の様子です。多くのセンサーは日本国内の組織に設置されているので、主に日本に対する攻撃が可視化されています。色が付いているロケット(矢印)のほぼすべてがサイバー攻撃に関連した通信です。

image6

もちろん攻撃を可視化するだけでなくリアルタイムに分析もしています。1つ1つのロケットの上にウイルス名が付けられていますが、これは攻撃の送信元に感染しているウイルスを推定して表示しているものです。

攻撃の送信元に感染しているウイルス名が表示されている状態。

攻撃の送信元に感染しているウイルス名が表示されている状態。

 

要は攻撃のパターンを分析し、送信元がどのウイルスに感染しているのかをリアルタイムで推定して、それを積み重ねていくことでグローバルな攻撃のトレンドを追っています。

 

例えば今だと、あるウイルスが攻撃の約27%を占めているのがわかります。その次に多い約19%は「unidentified(不明)」となっていますが、詳細な分析の結果、そのほとんどがIoT(Internet of Things)デバイスであることがわかっています。

 

ホームルーターやWebカメラなど、所有者ですらコンピュータだと気づかないままインターネットに繋がっているデバイスがたくさんあり、それらが攻撃されているんです。攻殻機動隊で「目を盗む」という描写がありますが、現実世界でもすでに盗まれ始めています。Webカメラって監視が必要とされる重要な場所に設置するものですが、それが攻撃されることによって、重要な映像情報がむしろ筒抜けになってしまっている状況が発生しています。

image8

■感染したIoTデバイスによって攻撃関連の通信が大幅増

 

―画面を見るとすさまじい数のサイバー攻撃を受けているように見えますが、実際どれくらい攻撃されているのでしょうか?

 

2014年は1つのIPアドレスあたり、年間平均で約11万5千回の攻撃関連の通信(パケット)が届いていた計算になります。2014年と2013年を比べると、倍とまではいきませんが、相当な増加傾向にありました。その主な理由はウイルスに感染したIoTデバイスの増加です。

image9

ある大学の研究室が攻撃元のIoTデバイスを調べたところ、ホームルーターやWebカメラはもちろん、エアコンや、音楽レコーダー、なかには、フードプロセッサーが攻撃をしかけている例もありました。これらを設置している家庭や企業の多くは、これらの機器がコンピュータであることを認識していません。攻撃者は既存のセキュリティ技術が適用しにくく、ユーザーも気づきにくいポイントを狙ってきている。ダークネットを観測していると、こういった無差別型攻撃に関する新しい情報を収集できます。

 

このような観測・分析結果は研究活用だけでなく、様々な組織と情報共有をしています。例えば、国内のISP(インターネットサービス・プロバイダ)と連携して、NICTERが感染したホストを見つけると、ISPにその情報を提供しています。ISPは該当する顧客に「感染していますので駆除して下さい」という警告をはがきや電話で連絡しています。メールだとフィッシングメールとの区別が難しいので、はがきや電話が有効なんだそうです。

 

■ウイルスの挙動を解き明かす「ウイルス自動解析技術」

 

―ほかにはどのような研究をされているのでしょうか?

 

攻殻機動隊で、敵から送られてきたウイルスを捕獲して解析する描写がありますが、そういったウイルスの自動解析の仕組みを作っています。

 

アンチウイルスソフトだけに頼ったウイルス対策は難しくなってきています。というのは、ウイルスの亜種が多すぎて、それは攻撃者が故意にやっているんですが、亜種を大量にばらまくと、アンチウイルスベンダーの解析が追いつかなくなる。そのため、アンチウイルスソフトだけで高い検知率を保つことは難しくなっています。そこで、我々はウイルスを捕獲して、隔離環境で実際に動作させて自動解析し、ウイルスを名前ではなく挙動ベースで判別しています。

 

―攻性防壁のような技術も研究されているんですか?

 

攻性防壁は相手にカウンターアタックを仕掛けますが、日本の研究機関だとそういう研究はしにくいんです。日本の特色はプロテクション。サイバー攻撃の早期検知や自動対策の仕組み作りに注力しています。

 

日本が今この瞬間、どのようなサイバー攻撃にさらされているのか、そういった大局的な攻撃情報は、かつてほとんど誰も把握できていませんでした。国の研究機関で大規模な観測や分析をしつこくやり続けて、それでようやく、今日本で流行している無差別型攻撃はこういうものです、ということがわかるようになってきました。

 

■対サイバー攻撃アラートシステム「DAEDALUS」

 

大局がわかったら、次にやるべきは早急なアラートです。「感染しています」というアラートを、直接攻撃元の組織に届けるために「DAEDALUS」というメカニズムを作っています。

image10

中央の球体がインターネットです。先ほどの地球儀上の可視化と同様に、ダークネットに対する攻撃をリアルタイムで表示しています。インターネットの周りを回っているリングの1つ1つが、国内外の連携組織を表しています。このなかで、自組織または他組織のダークネットに通信をしているホストが観測されるとアラートが表示され、攻撃の様子が見えます。

 

もちろん、アラートは可視化するだけではなく、同時にメールなどで攻撃元の連携組織に送っています。日本の地方自治体や、ASEAN諸国、一般企業にもアラート提供しています。

 

■サイバー攻撃統合分析プラットフォーム「NIRVANA改」

 

こちらは、NIRVANA改の可視化画面です。

image11

六角形のアイコンがたくさん表示されていますが、これらは、ある組織のネットワークに設置された様々なセキュリティ機器から出されているアラートを表しています。

image12
四角いパネルは組織のIPアドレスのブロックを表しています。アラートが発生しているブロックをクリックしてドリルダウンしていくと、最後はアラート発生原因となったIPアドレスにたどりつき、さらにそのホストのなかまで入っていけます。

image13
中央のモノリスに、このホストのOS種別やユーザー名、現在動いているプロセス数などの情報が表示されています。オレンジ色に光っているクリスタルがウイルスと判定されたプロセス。プロセスの詳細情報や通信状況を見ることもでき、ウイルスの通信遮断なども可能です。

image14

■年金機構も被害にあった標的型攻撃

 

―「NIRVANA改」が対象にしている標的型攻撃について教えてください

 

標的型攻撃の特徴は、特定の組織に対して執拗に攻撃を仕掛けてくることで、長いものでは数ヶ月、数年単位で攻撃が行われます。典型的なパターンだと、実在の人物から、完璧な日本語で、かつ適切なタイミングでメールが送られてきます。その添付ファイルにウイルスがくっついています。これ、大体開いちゃいますよね。特に数千人、数万人規模の従業員がいるような組織では、誰も開かないというのはまずありえません。誰かが開いてしまうと、組織の中に侵入されてしまう。昔のウイルスだとそこで終わりなんですが、標的型攻撃の場合はそこがはじまりです。

 

組織内のホストへの侵入に成功すると、そのホストを踏み台にして侵攻を進め、重要なデータが入っているサーバーなどから情報を組織外に盗みだします。しかも、盗み終わったあとは侵入の痕跡を消し去って帰って行きます。そのため、標的型攻撃をされたことに気づいて、事後的に解析をしても、完全な情報が残っていることは少ないのです。2015年5月に日本年金機構から個人情報が漏洩したのは、まさにこの標的型攻撃が原因です。

 

送り込まれるウイルスも、高度なものになると、世の中にある有名なアンチウイルスソフトは概ね試している場合が多いんです。攻撃者はウイルスがどのソフトにも引っかからないことを事前に確認した上で放り込んでくる。だから高度な標的型攻撃の場合、アンチウイルスソフトの検出にはかかりません。このような、カスタマイズされたウイルスが入ってきて、感染したパソコンが遠隔操作されます。

 

■守るべきなのは入口と出口だけではない

 

―我々はどう対策をとれば良いのでしょうか?

 

世の中ではよく、入口と出口の対策、いわゆる「境界防御」をしっかりしましょうといわれていますが、入口から出口までのあいだの攻撃プロセスが実はすごく長いんです。既存のセキュリティ技術の多くは、特に入口を重点的に守っていますが、組織内に侵入されてしまった場合、入口だけを見ていてもほとんど意味がない。

 

組織の内部で、今まさに攻撃が進行している状況を検知できるような仕組みが必要なんです。

 

NIRVANA改は色々なテクノロジーを集結させるプラットフォームと位置づけられます。もはや単一のセキュリティ機器だけで全ての攻撃を防ぎ切ることは困難なので、重要なのは様々なセキュリティ機器を連携させること。攻殻機動隊でも、ゴーストラインに到達するまでに何層もの防壁が張られていたように、多重の防壁をつくりだすためにはセキュリティ機器を連携させなければいけません。

 

組織内部の攻撃に対して、境界防御は意味をなさない。城の門だけでなく城壁の内側までモニタリングするために、NIRVANA改は組織のネットワークの末端にまでセンサーを設置できます。今までは門だけ守っていたのが今度は城下町まで守れるようなイメージですね。
(続く)