サイバーセキュリティ技術の研究開発成果と今後の課題 - nict...nirvana改 d...

NICTERNetwork Incident analysis Center for Tactical Emergency Response

サイバーセキュリティ技術の研究開発成果と今後の課題

井上大介国立研究開発法人情報通信研究機構

ネットワークセキュリティ研究所サイバーセキュリティ研究室

サイバー攻撃対策総合研究センターサイバー防御戦術研究室1


NICTのサイバーセキュリティ研究体制

2

サイバーセキュリティ研究室世界最先端のサイバー攻撃観測・分析・対策・予防を実現する技術基盤を構築し、社会課題の解決に貢献

ネットワークセキュリティ研究所（NSRI）

2011年～

サイバー攻撃検証研究室 StarBEDで培ったエミュレーション技術を用い、セキュリティ実験環境を容易に構築・活用する技術を確立

サイバー防御戦術研究室 NICTERで培った基盤技術を用い、標的型攻撃等に対する根源的な防御戦術を立案・実現

サイバー攻撃対策総合研究センター（CYREC）

2013年～＋


NICTER

インシデント分析センタ NICTER

対サイバー攻撃アラートシステム DAEDALUS ネットワークリアルタイム可視化システム

NIRVANA

サイバー攻撃統合分析プラットフォーム

NIRVANA改

3


主な研究成果・活動 !!ダークネット系

"! NICTER観測規模 14万アドレス → 30万アドレス "! 静的センサ配置 → 動的センサ配置（Ghost Sensor） "! 新たな脅威の発見（リフレクタ探索、IoT機器の大規模感染 etc.） "! 観測・分析情報の外部提供（地方自治体、ACTIVEプロジェクト etc.）

!!ライブネット系 "! NICT内ネットワークをテストベッド化（ライブネット観測・分析機構構築） "! ライブネット高速分析エンジン開発（低速Scan検知、NW境界侵害検知 etc.） "! サイバー攻撃統合分析プラットフォーム NIRVANA改開発

!!その他 "! 機械学習/データマイニングのサイバーセキュリティ応用 "! IPv6セキュリティ（IPv6大規模テストベッド構築、国内/国際ガイドライン化） "! ドライブ・バイ・ダウンロード攻撃対策フレームワーク構築 "! サイバー模擬攻防戦 CTF可視化エンジン開発 "! サイバー演習支援（サイバー攻撃検証研究室）

4


システム開発のタイムライン

5

2011.4 2012.4 2013.4 2014.4 2015.4 2016.4

C

AMATERAS零 SECCON Custom

L

NIRVANA

C

AMATERAS零

2013.4 2014.4

CYREC Started

D

DAEDALUS

D

NICTER WEB

C

NIRVANA改 SECCON Custom Mk-II

L

NIRVANA改

End Host Monitoring / Auto Actuation

C

NIRVANA改 SECCON Custom

Da

rkne

tLi

vene

tC

TF

L

NIRVANA改

D

DAEDALUS 2nd Evolution


インシデント分析センタ NICTER

(Network Incident analysis Center for Tactical Emergency Response)

6


NICTERの全体像

7

NICTER

相関分析システム

相関分析エンジン

分析者ワークベンチ

政府・官公庁

一般ユーザ

インターネットサービスプロバイダ

インシデントアラート発行

インシデントハンドリングシステム

現象

原因

!

!

!

マクロ解析システム可視化エンジン分析エンジン

Tiles Cube Atlas

ミクロ解析システムマルウェア静的解析マルウェア動的解析

ネットワークモニタリング

マルウェア検体収集

ウイルス

ボット

ワーム

ウイルス

ハニーポット

NICTER Alert ------------ ------------ ------------


NICTER

8


ダークネットで見えるもの !!インターネット上で何かを探す行為

"!ワーム型マルウェアによるスキャン "!リフレクタ探索（DNS Open Resolver探索、NTP探索 etc.） "! IoT機器からのスキャン "!セキュリティ関連組織等による定期スキャン

!!DoS攻撃の跳ね返り "!DDoSバックスキャッタ

※ 送信元IPアドレス偽装されたSYN Floodへの応答

"!DNS水責め攻撃のバックスキャッタ ※送信元IPアドレス偽装されたランダムサブドメイン攻撃

!!設定ミス

9

Darknet


10

NICTERダークネット観測統計年年間

総観測パケット数観測IPアドレス数 1 IPアドレス当たりの年間総観測パケット数

2005 3.1 1.6 19,066

2006 8.1 10 17,231

2007 19.9 10 19,118

2008 22.9 12 22,710

2009 35.7 12 36,190

2010 56.5 12 50,128

2011 45.4 12 40,654

2012 77.8 19 53,085

2013 128.8 21 63,655

2014 256.6 24 115,323

2015 545.1 28 213,523

0

50,000

100,000

150,000

200,000

250,000

2005 2006 2007 2008 2009 2010 2011 2012 2013 2014 2015

1 IPアドレス当たりの年間総観測パケット数


宛先ポート番号別パケット数（2015年）

11

24%

8%

5%

3%

2% 2%

2% 2% 2% 2%

48%

23/tcp

445/tcp

22/tcp

80/tcp3389/tcp

53413/udp443/tcp53/udp

Other Ports

NICTERNetwork Incident analysis Center for Tactical Emergency ResponseNICTERNetwork Incident analysis Center for Tactical Emergency ResponseNetwork Incident analysis Center for Tactical Emergency Response

!"#

IoT

12

※横浜国大による調査


攻撃元IoTデバイス - 横浜国立大学吉岡研究室による調査結果 -

•! �#Gej��–! 36.Gej�–! WOSl]WFmLrT�

•! [UXorI��–! lrSqKrXCDB�–! fWd�–! _kUO�–! � lrS�–! QHhkVA@`jB@pP�

•! +%*(��–! 8<36KrXCDB�–! 36+%.�–! 275lrS�–! @ZnJ+%@T`S�

•! Bp^j�–! -&��NPVd�–! 410WAP`mB��NPVd�

•! ��NPVd�–! RkUYPVrXmLrT�–! BpSr[UX��fOhrl�–! QpM�#"!�–! ]l��NPVd�

•! �q��=�–! 9;:Gej�–! ]WFmLrT�–! ardFrXerNip29�

•! �'*(��–! ��)�NPVd.�–! WOSl,�mLrT�–! ]WFEpLrT/WLrT�–! QUXXU`bUIPq@pVZ.�

•! >?��–! \rXcp`�–! ��NPVd�–! WAPI$�"!�–! ��PHgZ� 13

※ デバイスはWebおよびTelnetの応答から判断


23/TCP 53413/UDP 2015 1 2016 2

14


15

NICTERの成果展開：国内展開ダークネット観測結果の共有・提供

!!SIGMON（定点観測友の会） "! 参画組織：JPCERT/CC、IPA、@Police、NICT、国内大学等 "! ダークネット観測結果を情報共有（2004年～）

!!DoS攻撃即応-WG（Telecom-ISAC Japan）

"! 国内ISPによるDoS攻撃への迅速な対応と協調対処 "! Backscatter等の情報を提供（2011年～）

!!ACTIVE（総務省）

"! 『国民のマルウェア対策支援プロジェクト』 "! 感染ユーザのIPアドレスを提供（2014年～） "! ISPを経由した感染ユーザへの注意喚起

ACTIVE (www.active.go.jp)


16

NICTERの成果展開：国内展開マルウェア解析結果の提供

!! マルウェア自動解析で得られた悪性URL情報を毎日提供 !! NetSTAR社経由でトレンドマイクロ社がURLフィルタ製品に活用

NICTERトレンドマイクロ InterScan WebManager http://www.trendmicro.co.jp/jp/business/products/iswm/


対サイバー攻撃アラートシステム

DAEDALUS

Direct Alert Environment for Darknet And Livenet Unified Security

17


境界防御技術とDAEDALUS

DAEDALUS

18

組織内ネットワーク

境界防御技術

組織内ネットワーク

組織外からの攻撃をネットワーク境界で検出

NICTER

組織内からの攻撃をネットワーク広域で検出


DAEDALUS-VIZ

19


DAEDALUSの成果展開：国内展開地方自治体へのアラート提供

20

!! 2013 11 1 ‒! 地方公共団体情報システム機構（J-LIS）を窓口として自治体より申込受付 ‒! アラート発生時の対応マニュアルをNICTとJ-LISで整備

自治体自治体

J-LIS 情報セキュリティ対策支援

サイバー攻撃検知通報（フィールド実証実験）

NICT

DAEDALUS システム

地方自治体

申込申請観測対象登録申請

アラート送信

47自治体 2013 11

553自治体 2016 1

対応マニュアル


21

DAEDALUSの成果展開：国際展開

ASEAN諸国へのアラート提供 !! サイバー攻撃予知即応プロジェクトPRACTICE及びDAEDALUSから成るセキュリティにおける技術協力の強化（出典：総務省）

PRACTICE Proactive Response Against Cyber-attacks

Through International Collaborative Exchange

DAEDALUS Direct Alert Environment for

Darknet And Livenet Unified Security

JASPER Japan-ASEAN Security Partnership

JASPER Japan-ASEAN

JASPER ecurity Partnership


22

クルウィット『SiteVisor』ディアイティ『SiteVisor Professional』

DAEDALUSの成果展開：商用展開

一般企業へのアラート提供 !! SiteVisor： DAEDALUSに基づく商用アラートサービス（クルウィット社）

!! SiteVisor Professional：インシデント発生時のレスポンスサービス（ディアイティ社）


ネットワークリアルタイム可視化システム NIRVANA

NICTER Real-network Visual ANAlyzer

23


NIRVANA

24

ライブネットを見える化

ネットワーク管理者の負荷を軽減（輻輳・切断等の障害、

設定ミス等を瞬時に発見可能）

管理コストの軽減

（管理の迅速化・効率化）

パケットモードフローモード


25 日本ラッド

NIRVANAの成果展開：商用展開

NIRVANA-R !! NIRVANAをパッケージ化した商用アプライアンス !! 日本ラッド社より販売中

NICTER日本ラッド


26 横河電機

NIRVANAの成果展開：商用展開

ネットワーク健全性確認サービス !! NIRVANAベースの制御システム向けセキュリティサービス !! 横河電機がサービス化、制御システムに導入

横河電機 NICTER

26 26 NICTER

26 NICTER

横河電機横河電機


横河電機：ネットワーク健全性確認サービス

27

通信元

通信先

通信内容　・プロトコル　・ポート番号　・頻度

!! NIRVANAによるネットワークモニタリング !!送信元/宛先をマトリクス化し、通常の通信状態を学習 !!定期的にマトリクスの差分チェックを行い異常検知


NIRVANA改

NICTER Real-network Visual ANAlyzer KAI

28


標的型攻撃

29

•! 特定組織を標的にした長期に渡る執拗なサイバー攻撃•! 周到な内容のメールに添付されたマルウェアで組織に侵攻 •! 組織内ネットワークに潜伏・浸透し重要情報を収奪

標的型攻撃のCyber Kill Chain 諜報侵攻潜伏橋頭堡

確保索敵浸透占領収奪撤収

TECH.ASCII.jp「9.5社に1社が対象に！シマンテックが明かす日本の標的型攻撃」 http://ascii.jp/elem/000/000/652/652712/ （2011-11-30）


日本年金機構への標的型攻撃

30

!! 2015年6月1日 125万件の年金情報の漏洩を発表 !!標的型攻撃メールが起点となり『Emdivi』に感染

番号受信日不審メールの概要

Ⅰ 5月8日(金) 件名：「厚生年金基金制度の見直しについて(試案)に関する意見」宛先：公開メールアドレス(2) リンク：商用オンラインストレージ

Ⅱ 5月18日(月) 件名：給付研究委員会オープンセミナーのご案内宛先：非公開の個人メールアドレス(98) 添付ファイル：給付研究委員会オープンセミナーのご案内.lzh

Ⅲ 5月18日(月)

～ 5月19日(火)

件名：厚生年金徴収関係研修資料宛先：非公開の個人メールアドレス(20) 添付ファイル：厚生年金徴収関係研修資料(150331厚生年金徴収支援G).lzh(16) リンク：商用オンラインストレージ(4)

Ⅳ 5月20日(水) 件名：【医療費通知】宛先：公開メールアドレス(3) 添付ファイル：医療費通知のお知らせ.lzh

※ 表中の括弧内の数字はメールの件数を表す。

（NISC 「日本年金機構における個人情報流出事案に関する原因究明調査結果」）

日本年金機構への標的型攻撃メール


31

NISCによる調査結果

（NISC 「日本年金機構における個人情報流出事案に関する原因究明調査結果」）


32

!!対策研究に必要なデータ取得が困難 "!大規模観測の網にかからない "!攻撃を受けた組織からデータが出てこない

•! 侵入の痕跡は消されている •! トラフィックログを長期間保存している組織は稀 •! 組織の秘密情報が含まれるため組織外提供が不可

!!対策検証環境の未整備

"!攻撃を再現できる検証環境がない "!攻撃に対抗するための多層防御の検証環境がない

標的型攻撃研究の難しさ（2011年当時）

作るしかない！


33

Capture + Analysis�

VPN�Tapping Network Traffic on Each Buildings�

Aggregation + Deduplication�

Filter + Distribution�

Database�

Analysis Engines�

Traffic�

Aggregated Traffic�

SAN Storage�

Aggregation TAP�

VPN Router�Aggregation

TAP�

Optical TAP�

20PB

ライブネット観測・分析機構構築


NICT-CSIRT 構築

34

NICT 機構ネットワーク機構ネットワーク

情報システム室 !! ネットワーク構築・運用

!! 機構ネットワーク監視 !! インシデントレスポンス

NICTER34 34

NICTER34

NICTER

機構ネットワーク

サイバーセキュリティ研究室サイバー防御戦術研究室

!! 研究開発成果の導入・運用 !! 機構ネットワーク監視 !! インシデントレスポンス

NICT-CSIRT

!!NICT内ネットワークを研究開発成果の実践の場に !!情報システム室と連携しインシデントレスポンス


なぜ止められない？標的型攻撃

35

!!単一のセキュリティ機器だけでは検出困難

!!ネットワーク内部での攻撃に境界防御は無力

!!ネットワーク系とエンドホスト系対策の断絶

!!防御策実施までのタイムラグ

単一のセキュリティ機器だけでは検出困難改

複数機器を連携させる統合分析プラットフォーム

組織の末端までセンサ設置しリアルタイム分析ネットワーク内部での攻撃に境界防御は無力改

ネットワーク系とエンドホスト系対策の断絶改

ネットワークからエンドホストへシームレスに没入

防御策実施までのタイムラグ改

相関分析結果に基づく防御策の自動展開


NIRVANA改の特長

36

!!組織内の末端までリアルタイム分析

!!複数のセキュリティ機器のアラート集約

!!ドリルダウン機能付き可視化エンジン

!!ネットワーク系対策とホスト系対策の融合

!!分析結果に基づく防御策の自動展開

基本機能

エンドホスト連携機能

自動防御機能


NIRVANA改

NIRVANA改システム詳細

37

KOMUSUBI

DB

NIRVANA

DB

ミラートラフィック

セキュリティアプライアンス

syslog

NICT製検知エンジン #! DarkNet

•! DAEDALUS #! LiveNet

•!低速スキャン検出 •!セグメント侵害検出 •!ブラックリスト

DB + UI

DB

アクチュエーション対象 #! Juniperスイッチ #! Ciscoルータ #! OpenFlowスイッチ #! FFR yarai

エンドポイントセキュリティ DB


NIRVANA改

38


39 DIT

NIRVANA改の成果展開：商用展開

WADJET（ウジャト） •! NIRVANA改をパッケージ化した商用アプライアンス •! DIT社より販売中

DIT


その他の取り組み

40


!! 機械学習/データマイニングのサイバーセキュリティ応用 "! ダークネットトラフィックの変化点検出（Change Point Detector） "! SVMによるマルウェアのパッカー特定　etc. etc... "! International Data Mining and Cybersecurity Workshop (DMC) 主催 "! International Cybersecurity Data Mining Competition (CDMC) 主催

!! ドライブ・バイ・ダウンロード攻撃対策フレームワーク "! NICT委託研究（KDDI研究所、セキュアブレイン） "! ブラウザプラグイン型センサ "! ユーザ参加型実証実験（1000人規模） "! 実証実験検討委員会

•! 菊池浩明教授（明治大） •! 高木浩光主任研究員（産総研） •! 石井夏生利准教授（筑波大）

41

!

DBD攻撃大規模観測網

DBD攻撃分析技術 DBD攻撃対策技術

その他の取り組み（1/3）


!! 次世代サイバー攻撃観測技術 Ghost Sensor#1 "! 仮想センサを分散配置 "! センタ側での動的センサ割り当て "! 予測型のセンサ割り当て

!! IPv6セキュリティ "! NICTを中心にIPv6技術検証協議会を設立 "! 大規模v6環境で40種の攻撃検証 "! 検証結果を国内ガイドライン化 "! ITU-T勧告化（X.1037）

!! 国際標準化 "! ISO/IEC 27032 (Guidelines for Cybersecurity) "! ITU-T X.1037 (IPv6 Technical Security Guidelines) "! ITU-T Software update capability for ITS communications devices "! IETF draft-ietf-mile-iodef-guidance

42


次世代サイバー攻撃観測技術Ghost Sensor

VirtualSensor

VirtualSensor Virtual

Sensor

BlackholeSensor

High-int’Honeypot

WebCrawler

Connection Manager

VPN Tunnel

Virtual Machine

Physical Mahine

WebCrawler

Low-int’Honeypot

BlackholeSensor

Global Internet

Analysis Center

Suspicious webserver

Malware

WWW

Malware

1. Web Crawling 2. Blackholemonitoring

3. High/Lowinteractionmonitoring

Gate Keeper: Sensor AgentSA

SA

SA

SA SA

SASA

NICTER

#1 GOHST: Global, Heterogeneous, and Optimized Sensing Technology

Software update capability for ITS communications devices

IPv6大規模テストベッドマイクロソフト大手町テクノロジーセンター


!!国内外組織へのセンサ設置 "! 実データ収集・解析基盤の構築

!!マルウェア対策研究人材育成WS

"! データセット提供（NONSTOPシステム） !!セキュリティ競技大会 SECCON

"! CTF専用可視化エンジン提供 !!実践的サイバー防御演習 CYDER

"! 演習用模擬ネットワーク環境提供 !!堅牢化技術競技 Hardening

"! 競技用模擬ネットワーク環境提供 !! 産学官連携の中核拠点構築

"! NICT＋企業のエース級研究者を結集（NTT、富士通、サイバーディフェンス、セキュアブレイン、ニッシン、　日立システムズ、構造計画研究所 etc.）

マルウェア対策研究人材育成WS

SECCON 全国大会カンファレンス

国内外組織へのセンサ設置

実践的サイバー防御演習 CYDER

堅牢化技術競技 Hardening

43



今後の課題

44


今後の課題（1/2）

45

!!より能動的・網羅的なサイバー攻撃観測技術の確立 "! Passive（第2期）→Flexible（第3期）→Active（第4期） "! “目”の拡張（IoT機器用センサ、Smart Phone用センサ、Home Network用センサ　etc.）

!!AI技術のサイバーセキュリティ応用 "! 観測の自動化：予測型動的観測、AIクローリング　etc. "! 分析の自動化：マルチモーダル自動分析、学習型マルウェア自動分析　etc. "! 必要なブレークスルー

•! リアルタイム性（現状：高次元の特徴量を扱うリアルタイム分析は不可） •! 教師あり学習から教師なし学習へ（現状：要教師データ、未知の攻撃検知は不可） •! チューニング問題の克服（現状：組織ごとの精緻なカスタムチューニングが必須） •! 原因への遡及（現状：機械は攻撃検知の原因を表現不可）

!!可視化ドリブンなセキュリティオペレーションの確立 "! 第2期：サイバー攻撃を可視化 "! 第3期：アラートを可視化 "! 第4期：可視化エンジンでオペレーションを完結

•! UIのユーザビリティ向上 •! 検索、フィルタ機能の強化 •! セキュリティ機器との連携強化 •! マルチプラットフォーム化（WebGL化）　etc.


今後の課題（2/2）!!セキュリティ関連情報を大規模集約

"! 各種観測情報 "! マルウェア検体/解析結果 "! セキュリティ機器のアラート情報 "! 脆弱性情報、資産情報 "! セキュリティNews/Blog etc...

!!マッシュアップと自動対策 "! 複数情報源の紐付け "! 攻撃キャンペーンの解明 "! 組織やユーザへの自動対策展開

!!セミ・オープン研究基盤 "! CURE格納情報の外部研究利用 "! 機微情報への階層的アクセス制御 "! CUREを核にしたAll Japan体制のサイバーセキュリティ研究基盤創立

To Security Intelligence

From Security Big Data

CURE

Darknet

Livenet

DNS DB

Proxy Log

Honeypot (high/low)

AmpPot

IoTPoT

SPAM

Web Crawler

DBD (browser)

C&C URL

Malware (exe)

Malware (result)

Events

Alerts

Vulnerability

Asset Info

Security News

Security Blogs

46

サイバーセキュリティ技術の 研究開発成果と今後の課題 - nict...nirvana改 d...

Documents

サイバーセキュリティ技術の研究開発成果と今後の課題 - nict...nirvana改 d...