2010年6月1日
【背景】 |
| 現在、ウイルスやワーム、ボットといったマルウェアに起因するセキュリティインシデントが重大な社会問題となっています。このようなインシデントへの根本的な対策を行うためには、攻撃の迅速な検知及びその原因となったマルウェアの特定が必要不可欠ですが、インシデントを誘発する攻撃とマルウェアとを結びつけるための実時間・自動分析技術は世界的にも実現されていませんでした。 |
【今回の成果】 |
| NICT では、インシデント分析システム“nicter”プロジェクトにおいてこれまでに開発したマクロ解析システム及びミクロ解析システムからの情報を統合的に突合分析することで、インシデントを誘発する攻撃の検知から原因特定までをリアルタイムで行う「マクロ-ミクロ相関分析システム」の開発に成功しました。nicter 独自のネットワーク攻撃のリアルタイム分析・可視化技術やマルウェアの自動解析技術を応用することにより、未知のマルウェアやゼロディ攻撃についても検知でき、その原因究明と対策手法の導出までを短時間で行うことが可能となります。 |
【今後の展望】 |
| この成果を、Interop Tokyo 2010 の中核ネットワーク ShowNet において、マクロ-ミクロ相関分析システムを含む nicter の技術の実運用を公開します。同時にnicter による攻撃検知、原因分析結果はShowNet全体を管理するNOC(Network Operation Center)に提供され、ShowNet 自体の保護にも活用される予定です。 また、今後は、国内外の協力組織と連携し、nicterの観測対象ネットワークの拡大及び分析結果の展開を行い、より広範かつ高精度のセキュリティインシデント対策に取り組みます。さらに、IPv6ネットワークなどの新たな通信環境におけるセキュリティ技術の研究開発を推進します。 |
| <本件に関する 問い合わせ先 > | < 取材依頼及び広報 問い合わせ先 > |
| 情報通信セキュリティ研究センター | 総合企画部 広報室 |
| インシデント対策グループ | 報道担当 廣田 幸子 |
| 井上 大介、衛藤 将史 | Tel:042-327-6923 |
| Tel:042-327-6225 |  |
 |
| ウイルス、ワーム、ボット、スパイウェアなど、情報漏えいやデータ破壊、他のコンピュータへの感染などの有害な活動を行うソフトウェアの総称であり、「mal-」=「悪の」という接頭辞とソフトウェアの「ware」を組み合わせた造語です。マルウェアは近年、多様化・高度化する傾向にあり、セキュリティインシデントの一大原因となっています。 |
| マクロ解析システムによって検知された新たな攻撃やインシデントの予兆と、ミクロ解析システムで解析されたマルウェアの相関を調べることで、未知のマルウェアやゼロディ攻撃などの新たな脅威に対しても、その原因となったマルウェアを特定する技術です。 |
| OS やアプリケーションソフトウェアにセキュリティ上の脆弱性が発見された際に、ソフトウェアベンダ等による脆弱性の修正コードが公開されるよりも前に、その脆弱性を悪用して行われる攻撃のことを指します。修正コードが公表された日を1日目とみなし、それ以前 (ゼロまたはマイナスディ) に攻撃が行われることから、このように呼ばれます。 |
|
例年 15 万人を超える参加者を集め、300 社余りの出展社が最新のネットワーク機器やソリューションを展示し、同時に多数の講演やコンファレンス等が開催される、ネットワーク分野における世界最大規模のイベントです。
参考URL: Interop Tokyo 2010 |
| 企業や大学等の情報通信ネットワークにおける情報漏えいやデータ改ざん、Web サービスの妨害などの情報セキュリティに関する事故を意味します。近年のインシデントの例としては、Gumblar 攻撃によるWebサイトの改ざん及びマルウェア感染や、特定の企業や国家の運営するWebサイトへのサービス妨害攻撃などがあります。 |
| nicter(Network Incident analysis Center for Tactical Emergency Response)はインターネットで発生する様々なセキュリティ上の脅威を迅速に把握し、有効な対策を導出するための複合的なシステムです。ネットワーク攻撃の観測やマルウェアの収集などによって得られた情報を分析し、その原因を究明します。 |
|
国内外のネットワークベンダが世界最先端のネットワーク機器を結集して構築する、Interopの心臓部とも言える展示会場全体のネットワークです。 参考URL:ShowNet |
“nicter”の解説 |
| NICT 情報通信セキュリティ研究センター インシデント対策グループでは、インターネットで時々刻々発生しているセキュリティインシデントへの有効な対策を打ち出すため、インシデント分析システム nicter (Network Incident analysis Center for Tactical Emergency Response) の研究開発を進めています。 |
 |
図 nicterのサブシステムの構成 |
nicter は、マクロ解析 、ミクロ解析 、マクロ-ミクロ相関分析の3つのシステムから得られた分析結果を集約・管理するともに、分析者に対するインターフェイスを提供するインシデントハンドリングシステムの4つのサブシステムから構成されています。なお、インシデントハンドリングシステムは、分析者がインシデントレポートを作成するための補助的な役割も果たします。 |
 |
マクロ-ミクロ相関分析結果の可視化の様子 (概観) |
世界中から飛来する攻撃トラフィックをアニメーション表示するとともに、攻撃元コンピュータに感染したマルウェア名を動的に表示 |
 |
マクロ-ミクロ相関分析結果の可視化の様子 (詳細) |
個々のトラフィック (パケット) に関する感染マルウェア名だけでなく、IP アドレス、攻撃元国などの詳細な情報を表示 |
 |
マクロ-ミクロ相関分析結果の可視化の様子 (地球儀バージョン) |
マクロ-ミクロ相関分析の結果を様々なスタイルで可視化し、マルウェア感染の広域的なトレンドの把握から、詳細情報のドリルダウンまでを可能に |
Copyright(C)2008 National Institute of Information and Communications Technology. All Rights Reserved.
