増え続け、手口も高度化するサイバー攻撃に対し、有効な対策はあるのだろうか。ネットワークインシデント対策センター「NICTER(Network Incident analysis Center for Tactical Emergency Response)」プロジェクトに関わる情報通信研究機構サイバーセキュリティ研究所の久保正樹 サイバーセキュリティ研究室上級研究技術員と、NICTERオペレータ、島村隼平氏に聞いた。
久保正樹氏(右)と島村隼平氏。中央の映像は世界各地から日本の観測IPアドレスの送りつけられる「悪意のある、あるいは不正の疑いがある通信」をリアルタイムで表示している(情報通信研究機構サイバーセキュリティ研究室で)
―NICTERプロジェクトの観測の柱は、ダークネットという世界に張り巡らされているIPアドレス観測網とされています。ダークネットとはそもそもどのようなものでしょうか。
IPアドレスというのは、インターネットに接続された機器に割り振られている固有の番号で、世界中で45億弱あります。当初はインターネットの開発者である米国防総省が管理し、各国に割り振り、各国がそれを、国内で再配分するという形をとっていました。現在は、Internet Assigned Numbers Authority (IANA)という国際組織が管理しており、IAEAの下で各国の管理組織、日本では「日本ネットワークインフォメーションセンター」(JPNIC)というところが、再配分の役割を担っています。実際にはJPNICと最終的な利用者との間に指定事業者やインターネットサービスプロバイダーが存在するピラミッド型の管理システムとなっています。ピラミッド構造の各組織それぞれに割り振られるIPアドレスは、必ずしもその全てが使用されてホストに割り当てられているわけではなく、実際には番号は存在するもののユーザーがいないIPアドレスが世界中にたくさんあります。こうしたIPアドレスに対しても一方的に送られてくる通信は、すべて悪意があるか、不正の疑いがある通信の可能性があるとみなせるのです。
IPアドレスを利用者に配分する指定事業者やインターネットサービスプロバイダーの協力を得て、ユーザーのいないIPアドレスにセンサーを設置し、通信を常時、観測できるようにネットワーク化したのが、ダークネットです。日本以外のIPアドレスも含まれていますので、世界中に飛び交う悪意のある、あるいは不正な通信を観測できるわけです。ダークネットのIPアドレスの数は、世界中に存在するIPアドレスの一部ですが、全体の傾向はつかめるのです。
NICTERプロジェクトは、2005年にIPアドレス数、1万6,000でスタートし、年々、数を増やし、2017年には約30万にまで増えました。観測された年間通信(パケット)数は、2005年の3.1億から2017年には1,504億、1個のIPアドレス当たりでは19,000から約56万に増えています。日本では通信の秘密は保護されていますから、自分宛て以外の通信を見ることはできません。従って通常の通信で正規なものと悪意のあるものを区別するのも難しいのです。しかし、ダークネットは使われていないIPアドレスに一方的に通信が来るので、自動的に意図せぬ,あるいは悪意のある通信と分かり、正規なものか悪意のあるものかを区別する作業が必要ありません。ダークネット観測によって,インターネット上を流れるノイズの実態を把握することができます。
―ダークネットを利用してサイバー攻撃への対策を探るということを始めたのは、どういうきっかけからでしょうか。
2003年ごろにインターネットの世界で大規模パンデミックが起きました。Blasterという名前のウイルスによって、世界で800万台のコンピューターが感染したのです。どのような規模で感染が広がったのか分からないと対応もできない、という危機感が高まりました。感染が広がる状況は観測手段がないと分かりませんから、ダークネットを使うのが現実的ではないか、ということになったのです。日本では公的な研究機関がやるのがよいということで、情報通信研究機構が担当することになりました。米国ではミシガン大学などが熱心なほか、民間のセキュリティ団体が、天気予報のようにサイバー攻撃関連通信の発信状況を常時、インターネットで知らせるようなこともしています。
―サイバー攻撃がいかなるものか、どのようなことを狙った通信か、ダークネットでなぜ分かるのかを、もう少し詳しくご説明願います。
サイバー攻撃の中には、高度標的型攻撃といってある会社の中などに入り込み、被害を与えようとするものがあります。これと異なり、コンピューターウイルスの感染のような、インターネット上で広がる攻撃があり、こちらがダークネットの観測に向いています。多数の感染先を探すためにまず、宿主を見つけようとする通信が、ダークネットにも飛んでくることがよくあるからです。
2016年に出現して世界中に大きな被害をもたらしたMiraiでは、われわれの観測で見えた数だけで1日24,000もの通信がありました。世界中では数十万から100万近くになります。Miraiのような悪意あるソフトウェアに感染したルーターは次の感染を引き起こし、自分が攻撃者になり得るのです。ルーターがやられるとそこを通過する通信が見えてしまいますから、その下につながっている人たちの利用状況が分かります。感染を引き起こした人は感染させたルーターを操ることができ、そのルーターを使っている人たちに命令することでその人たちが別のところを攻撃するように仕向けることができるのです。普通の人が安心して安定的にインターネットを使えなくなるような事態を意図的につくれるということです。
―Miraiのような悪意あるソフトウェアをつくり、送りつける人間にはどんなメリットがあるのでしょうか。経済的メリットはないので、大騒ぎするような事態が起きるのが、今の程度ですんでいるということなのでしょうか。
攻撃者が経済的なメリットを得ることも可能です。実際にいろいろあり、さらに今は知られていないメリットが今後どんどん生まれるでしょう。実際に、特定の企業のサーバーを使用不能にしたいという人の代わりに攻撃を請け負うサービスのようなものも現われています。Miraiの作成者は、米国人の青年2人で、昨年12月に有罪判決が出ました。2人は脆弱性を持つIoT端末を探索して感染させ、これら多数の端末から攻撃対象に一斉に大量のデータを送りつけ、その企業のサービスを不能にするということをしていました。彼らはある会社を共同でつくり、Miraiによって攻撃の被害に遭っている企業に対して、攻撃を鎮静化するサービスを提供したり、感染した機器を守る技術を売りつけることで利益を得ていました。自分たちで火をつけて、消火器を売るようなことをしていたわけです。
=サイバー攻撃への対抗措置としてダークネット観測の重要性は分かりましたが、これから強化しなければならないことは何でしょうか。30万という現在のIPアドレスで十分なのでしょうか。また、一般の人間が関心、注意を払わなければならないことはあるのでしょうか。
IPアドレスの数を増やすより、むしろ世界を万遍なく網羅する形の観測網にし、外国の提携組織との協力を広げることが重要です。外国のどのような組織と提携して利用者のいないIPアドレスにセンサーを設置させてもらっているかは、公表できません。そこが攻撃の標的になる恐れがあるからです。しかし、外国との協力をさらに強化する意義は大きいです。例えば、サイバー攻撃関連通信が、ブラジルから急に大量に来る日が過去にありました。通信状況を見ただけでは傾向は見えますが、どのようなIoT機器が狙われているかといったことまでは分かりません。ブラジルの感染機器は手に入りませんから、対策まで考えるにはブラジルの組織との協力が重要になるわけです。中国も、特定のセキュリティ企業がダークネット観測に力を入れており、対策を売るという形でよいリポートを出しています。このような企業と情報を共有できれば双方にメリットがあるはずです。
人間の世界でもウイルスが原因の病気が流行した場合、皆が皆、病原ウイルスに感染するわけではありません。IoT機器を狙ったサイバー攻撃でもインターネットにつながっている機器にはいろいろな機器があるので、その中の特定の機器だけが感染するというが普通のケースです。しかし、もし全ての機器に感染するようなことが起きたら、大変な脅威です。これからは、利用者の多い機器が狙われるということは十分ありそうです。いずれにしろIoT機器を狙った攻撃が増えているという状況は今年も来年も続くと予想されます。家にIoT機器がある人は、問題が生じたらすぐ対応してくれるメーカーの製品を選ぶようにすることが大事なことといえるでしょう。感染は起こり得ると考えて、備えるためにです。
小岩井忠道(中国総合研究・さくらサイエンスセンター)
関連サイト
情報通信研究機構プレスリリース「NICTER観測レポート2017の公開」[リンク先URL]
NICTER 観測レポート 2017(PDF版)[PDF]
関連記事
2017年09月15日「NICT特别研究员佐佐木雅英谈有助于构建安全社会的量子通信」[リンク先URL]