攻撃元はBRICsが多い
――じゃあ、ボコボコボコっと黄色いものが3連発で来ているものがありますが、それは攻撃場所から相当来ているというわけですね?
そうですね。このロケットをクリックしていただくと、パケットの中身が分かります。
パケットを模した三角形のものをクリックするとパケットの概要が分かるようになっている
――おお! これはどこの旗ですか?
Quitoと書かれていますので、エクアドルの首都ですね。こちらはアメリカから来ている攻撃です。お隣の中国からの攻撃というものもたくさんあります。
――なるほど。地図をみていると中国の1ヵ所から凄まじい数のパケットが打ち出されているのですが(笑)。
この△で示された地点は中国の中なんですが、送信元IPアドレスが実際の緯度経度とひも付けできないパケットはここから打ち出されます。
――なるほどね。とりあえず日本に観測網を置いているから日本にどれだけ飛んで来ているのかわかるわけですね。これを世界中に設置して観測すると、ワケがわからない状況になってしまいますよね(笑)。
それはもう、世界大戦をやっているような感じになってしまうでしょうね(笑)。実は一部海外へのセンサー展開も始めているところです。
――(パンフレットの)観測網が日本で19万というのはこれは地点数ですか?
19万のIPアドレスです。地点数でいうとそこまで多くはないのですが、いろいろな大学、企業に少しずつIPアドレスをお借りしています。実際に各組織に設置しているセンサーというのは1Uサーバーなんですけど、そこでダークネットトラフィックを収集しています。で、その各拠点のセンサーがnicterのセンターにリアルタイムで観測情報を送り続けていて、ここで視覚化されているわけです。
この観測情報は、同時に分析エンジンにも入力されます。分析エンジンの1つに“Tiles”というものがあるのですが、それをちょっとご覧いただくと……。この画面は分析結果を表示しています。今クルクルとタイルが回っていますよね。この1つのタイルが1つの攻撃元のホストなんですね。タイルを裏返すと国旗になっていまして、どこの国のホストが攻撃をしているのかが分かります。
――これ、真っ赤なところを見ると中国とかですね(笑)。
今現在は中国がかなり多いのですが、この割合は時間帯によって変わります。例えばアジア圏が夜の時間になりますとブラジルの国旗が増えていったりします。
――ブラジル結構多いですね。ブラジル、中国……。
BRICs諸国が多いですね。ブラジル、中国のほかに、最近多いのはロシアやインドなど経済発展をしていてネットワークがどんどん広がっているところです。ホスト数も多いですから、攻撃してくるホストも増えています。で、この表側が分析結果なっていまして……各ホストがどういった攻撃パターンを用いているのかが視覚的にもわかるようになっています。
――モールス信号みたいな感じのパターンもありますね。
ええ。例えば30秒間でパケットを1発だけ打ってくるものは1つの線で、2発打ってくるものは2つの線で表されます。つまり、それぞれの攻撃元ホストの攻撃パターンを30秒間だけ見て分析しているわけです。そして、1つのタイルをクリックすると他のホストも白くハイライトされますよね。これは何を意味しているのかというと、まったく同じ攻撃パターンを持つマルウェア(不正プログラム)のファミリーに感染したホストが世界中にたくさんいるということなんです。こういう風に同じパターンを持っているものは同じ、違うパターンを持っているものは違うと自動分類してくれる分析エンジンなんです。
――ちなみにグシャグシャとなっているものと、ツートンツーみたいにモールス信号みたいになっているものと2つありますよね。これは何を意味しているのでしょう?
グシャグシャっとなっているものは非常に大量のパケットをネットワークの走査(スキャン)のために送り続けているホストです。2発だけ打ってきているホストの多くは、Confickerという2008年に感染爆発を起こしたマルウェアなんですけど、その特徴的なスキャンパターンです。Confickerに感染したPCは世界中に1000万台以上いるとも言われていますが、それだけ多く存在していると1ホストが2発くらい打っておけば次の感染先が十分に見つかるので、あまり大量にパケットを出していないんです。
――あ~、なるほどね。じゃあ、ボコボコっといっぱい枝分かれしているパターンのものはまだ感染爆発していないようなものなのですか?
いいえ。スキャンパターンの違いはマルウェアの実装の違いに依存しています。例えば、中国から来るマルウェアは割とたくさんのパケットを送信する実装になっているものが多いんですね。組織のネットワーク境界でよく見ていると、「このホストはやたら外に対して打っているな」と分かるので、そういうマルウェアはある程度見つけやすいのですけど、例えば1時間に2発だけ打つものは見つけるのがすごく大変です。そういうものは、基本的によくデザインされたマルウェアだったりします。
――よいデザインですか(笑)。確かに見つからないのが重要ですからね。
最近のマルウェアの多くはお金になる情報を詐取することが目的ですので、昔みたいに感染するとHDDを壊すとか、どくろマークを出すとかいうものは今はほとんどありません。感染するととにかく潜伏をして、命令を待つというのが基本的な動きです。
このようにnicterのマクロ解析システムでは、いろいろなスキャンパターンが観測できます。一方で、ミクロ解析システムでは、マルウェアを自動解析することで、1つ1つのマルウェアのスキャンパターンがわかります。そこで、相関分析システムでマッチングをかけると、今観測されたスキャンはこのマルウェアが原因ですよということが自動的に推定できるんです。
そして、個別のホストがどのマルウェアに感染しているかという推定を積み重ねていくと、グローバルトレンドつまり全体の傾向がわかるわけです。で、相関分析のリアルタイムの結果を見ると、今「W32.Downadup」(Confickerの別名)がファミリーを入れると約6割5分くらいですかね。他のものは「W32.Rahack」が20%くらい。このように現在、日本のインターネットがどういったマルウェアに攻撃されているのかがリアルタイムにわかる――というのがnicterの仕組みなんです。
――なるほど。
このようにマルウェアのグローバルトレンドを把握した上で、それを対策にどうつなげるのかが次のステップになってきます。これがDAEDALUSになるわけです。
