Web媒介型サイバー攻撃対策プロジェクト「WarpDrive」とは
──「WarpDrive」プロジェクトの概要について、改めて教えてください
井上:「WarpDrive(Web-based Attack Response with Practical and Deployable Research InitiatiVE)」プロジェクトを説明するにあたり、まずNICTで行ってきたプロジェクトの背景について触れる必要があります。我々の組織では、2005年より「NICTER(Network Incident analysis Center for Tactical Emergency Response)」という大規模サイバー攻撃観測網(ダークネット観測網)の構築を開始し、サイバー攻撃関連の通信観測を行ってきました。
具体的には、使われていないIPアドレスを観測することによって、インターネット上で無作為にばらまかれる攻撃を観測するというものです。
そのアラートの仕組みとして「DAEDALUS(ダイダロス:対サイバー攻撃アラートシステム)」というシステムがあり、その頃からサイバーセキュリティ関連のリアルタイム可視化エンジンの研究開発に取り組んでいました。
一方で、2011年に国内大手の製造企業が標的型攻撃に遭っていたことが判明し、「標的型攻撃の対策もしないといけない」という議論が起こりました。そこから組織内の中の観測をする、サイバー攻撃統合分析プラットフォーム「NIRVANA改」という仕組みや、よりアクティブに攻撃者側の観測をするためのサイバー攻撃誘引基盤「STARDUST(スターダスト)」という模擬環境を作るなど、様々な研究開発を行ってきました。
当時はなかった、Web媒介型攻撃の観測手段
しかし、それらのプロジェクトを進める過程で大きなミッシングパートがありました。それは無差別型攻撃と標的型攻撃のちょうど中間あたり、いわゆるWeb媒介型攻撃に当たるものです。たとえばドライブバイダウンロード攻撃と言われるような、Webサーバー経由で気づかないうちにマルウェアや悪意のあるプログラムをダウンロードさせるといった攻撃に対する調査が足りていない状況だったのです。
一番最初に有名になったのが2009年に発生した、Gumblar(ガンブラー)という攻撃手法です。これはWebサーバーに、正規サイトとは別の攻撃サイトへ飛ばす命令を書き換えて入れておき、攻撃者のサイトに一般ユーザーを誘導し感染。その後さらにこの一般ユーザーのPCの中からFTPのIDやパスワードを盗み出して、また次のサーバーを攻撃していくといった攻撃手法でした。
このような、Webサーバーとユーザーのブラウザの間で攻撃が行われるドライブバイダウンロードという手段が登場してきました。しかし、当時はそれを観測しようにもまったく手立てがなく、一般ユーザーのブラウザとWebサーバーの間の通信自体を見せてもらわないと、現場で何が起こっているのか外部からは大局的な情報さえ得られないという課題があったのです。
そこで、「WarpDrive」の前身となる研究が始まりました。具体的には、了承を得たユーザーに対してブラウザの中にセンサーを入れてもらい、個々人のWebアクセスを観測・収集して悪性サイトを見つけるというプロジェクトです。しかし、すぐに難題にぶつかります。それはユーザーにとってのインセンティブです。
ユーザー側にしてみれば、いくら匿名化されているとはいえ、きっかけや働きかけがなければ当然センサーを入れてくれません。そのためプロジェクト当初は、1年間継続して参加していただいた方に謝礼をお支払いするといった形を取っていました。しかしご想像の通りですがユーザーはさほど集まらず、せっかく始めてくれてもすぐに辞めてしまうといった状況で、前途多難なプロジェクトでした。
そこでユーザーのインセンティブとして何か日本独自のやり方があるのではないかと考えていたところ、ちょうどNICTの別プロジェクトにはなるものの、攻殻機動隊とコラボしたプロジェクトが動いており、そこから連携しようという話になったのです。
