サイエンスメディアな日々   インフォグラフィクスな日々

サイエンスのこと・テクノロジーのこと・ビジュアリゼーションのこと

サイバー攻撃を可視化する:情報通信研究機構のNICTER


ハッカー集団アノニマスが毎週金曜日にサイバー攻撃をしかける、と言う宣言を出し、大企業や官公庁は戦々恐々としている。昨年の警視庁やソニーへの攻撃だけでなく、表に出ていないものも多数あると考えられ、サイバー攻撃はもはや珍しいものではない。インターネットに関わる誰もが被害者になる可能性がある。

昨年、サイエンスニュースで、可視化を使ってサイバー攻撃を「見える化」しようという、情報通信研究機構ネットワークセキュリティ研究所のNICTER(Network Incident analysis Center for Tactical Emergency Response:通称「ニクター」)の取り組みを取材した。NICTERは、マクロ解析、ミクロ解析、そして、マクロとミクロを組み合わせた相関分析の3つのアプローチで、目に見えないサイバー攻撃の様子を可視化するシステムである。

大規模なサイバー攻撃は「ボットネット」によるものが多い。ボットネットとは、攻撃者(ハーダー)が不特定多数のコンピュータにマルウェアを侵入させ、それらのコンピュータを乗っ取るもの。攻撃者は支配下においたコンピュータをあやつって、スパムメールの配信や、サーバーへのDoS攻撃をしかけるのだ。攻撃通信はIPアドレスを偽って行われるが、攻撃を受けたサーバーは偽アドレスとは知らず返信を返す。この返信のうち、NICTERの監視するアドレスに飛んで来る「流れ弾」パケットをとらえてサイバー攻撃の状況を把握するのが、NICTERの基本的なアプローチである。

NICTERの可視化機能はどれも洗練されていて、わかりやすい。例えば"ATLAS"と呼ばれる画面では、通信パケットを、世界各国から日本への弾道ミサイルに見立て、世界地図上に可視化する。ミサイルの弾の色はHTTPプロトコルの種類を表し、軌道の高度はポート番号を表す。さらに相関分析で明らかになったマルウェアの種類や発信IPアドレスがテキストで表示される。実際に昨年春のソニーへのサイバー攻撃をATLASで可視化してもらったが、その画面を見ていると一瞬TVゲームでも見ているような錯覚にとらわれる。これが実際におこったサイバー攻撃だと思うと、恐ろしくなる。他にも、パケットの発信元と受信元の詳細を可視化する"CUBE" や、パケットデータのパターンや発信国を表示する”TILES"など、NICTERは可視化を最大限に活用したシステムだ。

多くのユーザーは自分のコンピュータが何者かに支配されていることに気づいていないと言う。ウィルス対策ソフトやこまめなアップデートなど、日頃のセキュリティ対策は自分のためだけでなく、他人に迷惑をかけないためのインターネットユーザのエチケットなのだと、改めて教えてもらった取材だった。

copyright(c) 2008-, Atsuhiko Yasuda All Rights Reserved.