2016年5月に行われた「サイバー犯罪に関する白浜シンポジウム」。NICT(情報通信研究機構)の井上大介氏は「NICTER開発における10年間」という題で講演を行った。井上氏は同プロジェクトを叱咤激励してくれた7つの言葉とともに振り返っている。【山下雄太郎】
--------------------------------------------------------------------
2016年5月に行われた「サイバー攻撃に関する白浜シンポジウム」。NICT(情報通信研究機構)の井上大介氏は「NICTER開発における10年間」という題で講演を行った。井上氏は同プロジェクトを叱咤激励してくれた7つの言葉とともに振り返っている。発言趣旨は以下の通りだ。
NICTでは2005年頃からダークネット(不審なIPアドレス)の観測を行っている。2006年にインシデント対策グループができ、そこで本格的に観測が行われた。
2003年 MSBlasterウイルス「最低でも800万台が感染」
NICTER(サイバー攻撃観測システム)プロジェクトは2006年4月から始動する。しかし当時研究者は2人だけで、先輩研究者がいない状態だった。そこで「親がいなくても子が育つ」(言葉1)の通り(私が加わり)3人態勢で研究を進めた。
2003年当時はコンピュータウイルス・Blasterの影響力が強かった。2003年8月に、MSBlasterのパンデミックが起きている。Windowsの脆弱性が攻撃され、過去最大規模の感染が起きた。Microsoftの発表では、最低でも800万台が感染したという。
ただ、その後はこのような大規模な感染、つまり「Blasterのようなパンデミックはもう起こらない」(言葉2)とも言われた。NICTはその後も地道にダークネット観測を続けた。
2004年頃から、ボットネットを使った犯罪が起きるようになった。犯罪者の目的も、次第に愉快犯から経済目的に変わってきた。大規模感染は起こらない――ダークネット観測はムダなのではと世間的には思われた。
「ハニーポットはもう死んでいる」
しかし2008年11月、大規模感染に関する大きな反応が見られた。コンフリッカー(Conficker)だ。不審なネットトラフィックの数が急激に跳ね上がった。ダークネット観測の重要性を再確認することができた。
NICTではその後、2008年からアラート可視化エンジン「ダイダロス」の運用を開始している。背景には、ダークネット観測でワーム系のマルウェアの全体傾向が見えるようになったことが挙げられる。ダイダロスは「俺たちの知っている日本が帰ってきた」(言葉3)と海外から評価もされた。
しかし、サイバー攻撃の流れは速い。「ハニーポットはもう死んでいる」(言葉4)とささやかれた。ハニーポットとはウイルスの研究用に、わざと侵入されやすいように設定されたサーバやネットワーク機器のことだ。2010年ころからハニーポットによる最新のマルウェアの捕獲が困難になってきたのが理由だ。
そこでDRDoSハニーポットなど、最新のハニーポッドが登場する。DRDoS攻撃など当時最新だった攻撃を観測しようというものだ。
積極的なセキュリティキャンプ参加者
このころになるとダークネット観測結果などの共有を行うようになる。例えばSIGMON(定点観測友の会)や、ACTIVE(総務省)などがそれだ。またNICTでは2011年にサイバーセキュリティ研究室が発足して、研究に一層力を入れている。
その後、標的型攻撃対策にサイバー攻撃対策は移っていくが、「標的型攻撃は出口対策」(言葉5)という言葉がもてはやされた。境界防御が必要とされ、境界をモニタリングする仕組みが重要だとされた。
NICTでは標的型攻撃の研究は2011年から開始している。当時、データの取得が非常に困難で、攻撃を再現できる環境が未整備だった。そのため一から環境をつくることとなった。
NICTでは標的型攻撃観測のために、分析機構を構築し、NICT‐CSIRTをつくった。さらに情報システム室と連携してインシデントレスポンスを強めた。そこで標的型攻撃の観測システム「NIRVANA改」が開発されている。
プロジェクトの機運も高まり、「オレ、もっとCTF(Capture The Flag:サイバー模擬攻防戦)を格好よくしたいんですよ」(言葉6)という言葉をセキュリティキャンプの参加者からいただいている。
「サイバーセキュリティはデータが命」
そして、その後もプロジェクトが発展する背景には「日本の政府機関こそ日本の技術で守る」(言葉7)というメッセージがある。これは故・山口英奈良先端科学技術大学院大学教授の言葉だ。
プロジェクトを進めてきた感想として、研究者はデータを見て検証することが大切。日本の優位性・特異性を活かした研究開発を行うべきだ。サイバーセキュリティはデータが命なのである。(終)
独自記事を毎日配信。
Justy Finder「Facebook」
Justy Finder「Twitter」