多様化するサイバー攻撃、標的はWindowsではなくIoT機器　つながり、共有し、みんなで見守る「日本独自」のサイバーセキュリティ構想

NICTのサイバー攻撃研究マップ

井上大介氏：ここからの後半では、NICT（国立研究開発法人 情報通信研究機構）における、サイバーセキュリティ研究についてご紹介していきたいと思います。

こちらが我々NICTの中のサイバーセキュリティ研究室の研究マップになっております。ちょっとビジーな絵ですけども、横軸に「Global」「Local」とありますが、これは無差別型攻撃に対抗するためのグローバル観測と、標的型攻撃に対抗するためのローカル観測というかたちで分けています。

縦軸には「Passive」「Active」と書いていますけども、サイバー攻撃の観測の仕方をPassive、受動的にひたすら解析するものと、能動的にサイバー攻撃の攻撃者を引き込んできてアクティブに解析しましょうという分け方です。こういった人間を解析する「STARDUST」というシステムが、研究開発の一番ホットな部分としてあります。

本日は時間の都合上、このGlobal・Passive側の「NICTER」、「DAEDALUS（ダイダロス）」、そして「NIRVANA改」のご紹介をしたいと思います。

NICTERが可視化する無差別型攻撃の現状

まずはGlobal・Passive側、無差別型攻撃対策の「NICTER」のシステムですけども、日本国内外で約30万の未使用IPアドレス、ダークネットの観測をしております。無差別型サイバー攻撃の対局的な傾向把握に有効ということで、実際に可視化をご覧いただきたいと思います。

こちらがNICTERの可視化エンジンになります。リアルタイムの攻撃の可視化を行っていまして、今世界中からこのロケットみたいなものが飛んでいますけども、これが攻撃に関連した通信一つひとつになります。

日本の中に我々の観測ポイント30万のうち9割以上がありますので、日本が集中攻撃されているように見えますけど、実際には世界中にセンサーを置くと、世界中が撃ち合っているという状況が見えると思います。

どこが攻撃しているかなんですけども、ほとんどが実は一般ユーザーの持っているデバイスなんですね。例えばブロードバンドルーターや、あるいはWebカメラが今世界中で感染しております。ユーザーが気づかない間にそういった機器が感染し、次の攻撃先を見つけるためのスキャンをやっているんですね。このように大規模にスキャンが見えています。

こういった観測をすることによって、無差別型攻撃の今の状況がリアルタイムにわかる。これが、NICTERの観測の仕組みになっております。

攻撃対象はWindowsからIoT機器へ

このNICTERですけども、観測を2005年頃から始めております。スライドには最新の10年分だけのデータを取ってきておりますけども、2021年に5,180億パケットと、先ほどご覧いただいたような通信が見えております。

平均しますと、だいたい一つのIPアドレスあたり、1年間に170万パケットぐらいの攻撃系の通信が届いていることになります。みなさんのご家庭のブロードバンドルーターの入口にフィルターをしていないと、これぐらいの数の攻撃が届きます。だいたい18秒に1回ぐらい攻撃が飛んでくる計算になります。攻撃の数もずっと右肩上がりで、2021年は少し下がっているんですけども、依然高止まりをしているという状況です。

攻撃の対象なんですけれども、こちらのスライドは2021年の対象を表しています。この水色の部分、半分以上が実はIoT機器なんですね。家庭のブロードバンドルーター、あるいはいろんな駅の天井や家の中にもある監視カメラ、そういったIoT機器が今攻撃の対象になっている状況です。

一方、このオレンジ色の部分がWindowsで、トップ30の中では約5パーセントぐらいとなっています。攻撃対象がWindowsからIoT機器にどんどん移ってきているという状況にあります。

こういった無差別型攻撃をNICTERで観測した情報ですけども、さまざまな機関と共有をしております。さらにNICTER Web、Blogや観測レポートで観測情報を一般公開しています。「www.NICTer.jp/」にアクセスをしていただけると、先ほどご覧いただいたようなリアルタイムの可視化情報や統計情報をご覧いただけますので、ぜひご利用ください。

みんなで守ってセキュアにしていく「DAEDALUS」

次のDAEDALUS（ダイダロス）は、先ほどの大規模なダークネット観測を利用したアラート警告の仕組みになっております。組織内でウイルス感染端末からの攻撃を検知して、みんなで見守って、みんなでセキュアにしていきましょうという仕組みになっております。

DAEDALUSの仕組みなんですけれども、これまでの境界防御とまったく別の仕組みを使っております。境界防御は外から入ってくる攻撃をネットワークの境界で守りましょうという、いわゆる水際作戦だったんですが、DAEDALUSはまったく逆です。

組織の中ですでに感染が起こってしまった後に、ネットワークの広域でそれを検出しましょうということですね。攻撃を出している組織に対して、「あなたは攻撃を出してしまっていますよ」と警告を出すというのが、DAEDALUSの仕組みになっております。

こちらがDAEDALUSの可視化エンジンになっております。真ん中に見えている球体、こちらがインターネットですね。インターネットの周りをたくさんのリングが回っていますけども、このリングが日本国内、あるいは海外の組織を表しています。

どれかのリングを見ていきたいと思いますけれども、例えばこちらのリングはスラッシュ16、約6万5,000のIPアドレスを持っている日本の大学ですけども、水色の部分が組織の中で使っているIPアドレス、そして暗い青の部分がダークネット、つまり使っていないIPアドレスです。こうしたIPアドレスを少しずつお借りして、全体で30万の観測網を築いているというのが、我々の観測の仕組みになっております。

ダークウェブのマルウェア感染拡大を可視化

いくつかの組織では、黄色と赤の「警」というマークが出ています。それは何かおかしなホストがいる組織を表しています。ちょっとどれかピックアップして見てみたいと思いますけれども。例えばこの組織ですね。IPアドレスをクリックをしますと、これはひどいですね。組織の中から、まったく別の組織の使っていないIPアドレスに対して大量の通信を出している様子なんですね。

インターネットを普通に使っている分には、組織内のIPアドレスからまったく別の組織の、しかも使っていないIPアドレスに対して通信を出すということは、まずありえません。おそらくここのIPアドレスが何らかのマルウェアに感染して、そのマルウェアが次の感染先を探しているスキャンをインターネット広域にばらまいている様子が見えているという状況ですね。

こういった警告マークが表示されている組織に対しては、即座にアラートを送るというのが、このDAEDALUSの仕組みです。

全体のアラートを見てみます。こんな感じになっておりまして、これはNICTと連携いただいている組織の間だけでも、これだけの攻撃を撃ち合っているということです。撃ち合っている状況がわかると、即座に各組織に「ここのIPアドレスから外向きに攻撃を出してしまっていますよ」とお伝えしています。これは相互に連携をしてつながって、まずいところがあると相互に教え合うという仕組みになっています。

このDAEDALUSですけども、2013年から地方自治体向けにアラートの無償提供を行っております。J-LIS（地方公共団体情報システム機構）さんがプロキシになって行っています。今は750弱の自治体に入っていただいておりまして、攻撃が届くとこちらから即座にアラートをお送りしております。

もしこのセッションご覧の方で地方自治体関係の方がいらっしゃいましたら、ちょっと気にかけていただければと思います。商用サービスも始まっておりますので、民間企業にもぜひご利用いただければと思います。

セキュリティオペレーションを効率化する「NIRVANA改」

次の「NIRVANA改」は、セキュリティオペレーションを効率化する統合分析プラットフォームですね。

本日の最初の方で、今一番大変なのが組織の中でさまざまな対策をデプロイ（導入）・運用していくことというお話をしました。そこで出てきたアラートをどうやって実時間で運用していくか、しっかりとオペレーションをして、本当にまずいアラートが出たらどうやってちゃんと潰していくかが、セキュリティ対策のポイントになっております。

そのためにセキュリティ機器から出されるアラートを集約・分析・トリアージする仕組みが、このNIRVANA改になっております。

NIRVANA改の中には4つのメイン機能があります。組織の中のトラフィックを観測・分析する機能、そして一番重要な機能として、アラートの収集・分析機能、さらに、自動対象と可視化ということで、こういったものをすべてリアルタイムに行っております。

こちらがNIRVANA改の可視化エンジンになっております。こちらではIPv4の世界全体が見えているんですけども、ある組織がIPv4の世界でどういう通信を行っているのかということが、リアルタイムに可視化されております。

6角形のマークがいくつか回っているんですけども、このマークの一つひとつがセキュリティアプライアンス、セキュリティ機器から出されるアラートを表示をしております。全体でだいたい数十万の行数のアラートを一度に表示をしているんですけども、この大量のアラートのどこが一番まずいのか、そういったトリアージができるようになっております。

アラートの集約・トリアージ・オペレーションまでを一手に

アラートの真ん中にある数字が重要度を表しております。0から9で重要度をマッピングしているんですけども、9が一番まずいアラートで、感染が疑われるアラートになります。現在は9番が上のほうにありますけども、ここに感染が疑われるホストがいるということですね。

この感染ホストに対して実際にドリルダウンして、何が感染をしているのかというのをちょっと見ていきたいと思います。今10.0.0.0/8の中に入りまして、ここに9番のアラートが出ていますので、10.250.0.0/16ですね。IPv4の空間を上から下にどんどんドリルダウンをして、中に入っていっています。

今、アラートが大量に出ている様子がわかると思いますけども。10.250.251.0/24、このクラスCのネットワーク全体がもうかなり汚染されている、マルウェアに感染をしているホストが大量にいますので、セキュリティのオペレーションとして、ネットワーク遮断をやってみたいと思います。

今、ネットワークを遮断しました。上流のファイアウォールに「このネットワークを切りなさい」というコマンドを送ったことで、このネットワークが組織のネットワークの中から完全に切り離された状況になっております。ですので、外から攻撃者がつなぐことができない状況になっています。これを利用して、実際のセキュリティのインシデント対応を行う時間を稼ぐことができます。

こういったセキュリティアラートの集約・トリアージ、そして実際のオペレーションまでを一手に、セキュリティオペレータが自席にいながら行えるのがNIRVANA改の仕組みです。

さまざまなセキュリティアプライアンスと連携することができまして、今年のInteropというネットワークの展示会では、セキュリティ・オーケストレーションにより11種7社との連携を行っております。

サイバーセキュリティ自給率の低迷する日本

最後に、我々NICTの中で昨年4月から新たに始めた、サイバーセキュリティ統合知的・人材育成基盤という取り組みをご紹介したいと思います。

背景ですけども、サイバーセキュリティ自給率の低迷があります。セキュリティの業界で、国内・国産のセキュリティの対策ソフトであったり、アプライアンスはなかなか少ないですよね。そういった状況についてNISCのレポートでは、やはりナショナルセキュリティの観点からも「過度に海外のセキュリティの製品に頼りすぎるのはよくない」ということが書かれております。

NICTでは長年研究開発を行っておりますけども、サイバー攻撃のリアルなデータは集めるのが難しいです。データが集まらないと研究開発や人材育成がなかなかできなくて、その結果、国産技術を作るのが難しくなる。

国産技術が普及しないと、その技術自身がセンサーになってしまいますので、データがなかなか集まらないという状況で、こういうデータ負けのスパイラルに長らく陥っているんじゃないかと分析をしております。

翻って、今日本に必要なこととしましては、実データを大規模に集め、定常的・組織的に分析をし続けること。さらに、その実データを用いて国産の製品、プロトタイプを運用・検証する仕組みを作り、そこから脅威情報を国内でちゃんと生成する仕組みを作りましょうということ。

そして、実データによる人材育成をどんどんオープン化していきましょうということです。これらの仕組みを目指す産官学の結節点を作りましょうということで、昨年4月1日にCYNEX、サイバーセキュリティネクサスという組織を立ち上げました。

このネクサスというのは結節点という意味なんですけども、我々の研究室や人材育成をやっているナショナルサイバートレーニングセンターとがつながり、さらに外向きには民間企業、政府機関、あるいは教育機関とつながりまして、先ほど申し上げたさまざまなことをやっていこうというのが、CYNEXの取り組みとなっております。

「日本独自の繋がるセキュリティ」を実現する

CYNEXには4つのサブプロジェクトがあり「Co-Nexus」と呼んでいます。Co-Nexus A、S、E、Cとありまして、Co-Nexus Aではデータを集めましょうということと、解析をしましょうということで、オールジャパンで解析者のコミュニティを作って、この中で解析をするという取り組みです。

Co-NexusのSはセキュリティオペレーションとシェアリングです。セキュリティオペレーションセンターの高度な解析者の人材育成を行いまして、その人たちと一緒に国産の脅威情報を作っていきましょうという、SOCオペレーターの育成と情報共有の取り組みを行っております。

Co-Nexus EのEvaluationでは、国産のセキュリティ製品をNICTの中に持ち込んでいただいて、一緒にそのプロトタイピングをやっていきましょうという活動を行っております。

最後にCo-Nexus Cですけども、こちらは人材育成をするためのCYROPというハードウェア＋教育教材の基盤があるんですけども、これを自由に使っていただいて、国内の人材育成の事業であったり、あるいは大学の教育カリキュラムとして使っていただくという活動を行っております。ぜひ、ご興味があればコンタクトいただければと思います。

では、まとめに入りたいと思います。「変わる世界」ということで、サイバー攻撃は変遷を続けております。さらに防御側も境界防御からゼロトラストへということで、大きな変遷を経ている状況にありますので、いかにこの「変わる世界」に追随していくのかが、組織のセキュリティを考える上で非常に重要なターニングポイントになっているかと思います。

一方で、「繋がる世界」ということで。例えばDAEDALUSでありますと、さまざまな組織がつながって一緒に観測をして、そしてまずい通信を出しているところはそこからアラートを送りましょうという、こういう「日本独自の繋がるセキュリティ」を我々NICTは活動として行っております。

さらにサイバーセキュリティの結節点を作りまして、そこで産官学がつながってセキュリティの強化を日本全体で考えていくことを目指しております。NICTとしても、日本国内でさまざまな活動を通してつながって、「変わる世界」に追随していこうとしているところです。どうもご清聴ありがとうございました。