“内”から“外”を観測する“DAEDALUS”
――ここまででぐっと集めてきて、あとは出力をどういう形にするのかということなんですね。
そうです。ここでようやくDAEDALUSのアラートシステムが登場するわけです。日本に広大な観測網を持っているのは、大学や企業にセンサーを設置させていただいているからです。そういう組織から何か攻撃が飛んで来た時に「あなたのところのネットが外に何かをやっちゃってますよ」ということをお伝えする。簡単に言ってしまうとこれがDAEDALUSの役割です。アラートの仕組みとしては非常に単純なのですが、単純なだけに確度の高いアラートを発行できるのです。
これがDAEDALUSの可視化エンジンなんですけど、真ん中にある球体がインターネットです。その周りでクルクル回っているリングが、nicterのセンサーを設置させていただいている組織のネットワークなんです。例えばNICTのネットワークもあるのでクローズアップしてみますと……。
――警告のマークが重なりすぎて一瞬目がおかしくなったのかと思いましたよ(笑)。
リングの水色の部分が使っているIPアドレス、ライブネットと呼んでいるところです。ここにはユーザーとかサーバーが繋がっているわけです。リングの濃紺の部分、ここがダークネット、使っていないIPアドレスです。ここをnicterは観測していまして、よく見ていただくとインターネットからこのダークネット部分にスキャンが次々に飛んで来ていますよね。これがダークネット観測網なんですね。先ほどAtlasでご覧いただいたのは、世界各国から我々の観測網に対して飛んでくる、つまり外から入ってくる攻撃を見ていたわけですけど、DAEDALUSは中から外に何かやっていないか、というのを見ているわけです。
――ああ、さっきのは外からだけど、内からも見ないと完全ではないということですね。
そうです。で、こちらのリングはnicterのセンサーを設置している海外の組織なんですけど、実は非常に感染が多い。今、赤い「警」という文字がポコポコと飛んでいますよね。これは今まさにマルウェアが送信しているパケットなんです。
――結構いっぱいいますね。
リングの外周にくっついている黄色の「警」は、以前から継続して出ているアラートです。赤色の「警」は最近出たばかりの新規のアラートです。
――警告の色にも意味があったわけですね。
そうです。「警」の文字をクリックすると送信元IPアドレスやポート番号がわかります。445番ポートなので、これは多分Confickerですね。そして、アラートの根元をクリックすると、このホストは組織内のダークネットに対して4パケット投げていることがわかります。
――おおお! これはおもしろいですねっ! あ、おもしろいって言ってはダメか。わかりやすいですね。
このホストなんかはひどいですね。パケットの軌跡がナイアガラの滝のようになっていますが、これが典型的なマルウェアの内部感染の様子です。まずマルウェアに感染しますよね。そうするとネットワーク的に近いところにスキャンを打って、次の感染先を探しているわけです。で、「警」をダブルクリックすると、パケットの詳細情報が出てきます。ここに445と書かれています。これはマルウェアが頻繁に狙うポート番号で、Windowsのファイル共有などで使われています。そこに対して大量のスキャンをかけている。
この組織は赤いアラートと黄色いアラートが出ていますが、赤がこの1時間中に新たに攻撃をし始めたホストです。黄色は継続して攻撃しているホスト。オペレーターは色によって「あ、新しくアラートが出たな」とすぐにわかり、詳細な解析を始められるわけです。こういう攻撃が観測された時には各組織に対してメールベースのアラートを送っているのですが、もうメールが多すぎるんですよね。
――そうですよね。どんどんと見なくなってしまいますよね。
まさにそうです。アラートの仕組みで一番問題なのが、どんどん慣れていってしまって見なくなってしまうことです。しかもメールベースだと、それが継続しているアラートなのか、新しく出たものなのかを区別するだけでも大変なんですよね。こういった可視化エンジンを作ることによって、この赤は今出たばっかりで、黄色はずっと出ているなとか、さらにアラート対象のパケットがリアルタイムにポコポコと出ているものも見えるので、アラートの発生状況というものをかなり俯瞰的に一気に把握できる。
――じゃあ、これがあったらメールは要らないですよね。
メールというのは、過去にさかのぼっていけるという意味もありますし、リモートでも受け取れますので、NICTの中では可視化エンジンとメールを併用しています。ただ、やはりこの可視化のように俯瞰して見られるのはNICTだけなんです。
――ああ、そうか。NICTだとセンサーを導入している組織全部が見えるけど、各組織はインターネットと自分のネットワークが1:1で見えるわけですね。
そうです。
――でも、これ、例えば何個か組織があって、集中的にシステムの管理者が見られるようになったら全然違いますよね。
そうですね。各組織には、nicterWeb premiumというWebベースのインターフェイスを提供しています。
――nicterWebもDAEDALUSと同じような感じで見えるのですか?
nicterWebはWeb上で実装されていますので、また見え方が全然違うんですよ。もっと統計情報ベースのものが見えるようになっています。
――できたらみんなこの可視化エンジンを入れたいですよね(笑)。
結構「これを入れてくれるんですよね?」って話をいただいているのですが、今は残念ながらそうではありません。ただし、センサーを設置させていただいている組織には、球体とリングが1:1になりますが、こういったインターフェースを提供することを検討しています。
――でもこれいいですよね。見てて楽しい。楽しいと言っちゃだめだけど(笑)。ああ、なんか来ているってよくわかりますよ。