情報通信研究機構(NICT)サイバーセキュリティ研究室は、セキュリティ情報融合基盤「CURE(キュア)」の新機能として、カスタム通知機能「Watcher(ウォッチャ)」を開発した。
WatcherにIPアドレスやドメイン名など、自組織に関連した情報を通知対象として設定することで、CUREの保有する情報の中から自組織関連の攻撃情報などが通知可能となり、CUREを活用した組織のセキュリティ向上が期待できるという。
NICTはサイバー攻撃の実態把握のためにCUREを開発し、サイバーセキュリティ関連情報の大規模集約を行ってきたという。CUREは、膨大な観測情報(Artifact)や分析情報(Semantics)を蓄積しているものの、それらの情報を様々な組織がどのようにしてセキュリティ向上に活かすかが課題だったとしている。
中央水色の球体がCURE本体、青色と橙色の小球体はそれぞれ観測情報(Artifact)と分析情報(Semantics)を格納するデータベース。CURE Watcherは紫色の5つの小球体で構成され、それぞれが異なる通知対象を観測している。
そこで今回、新機能としてカスタム通知機能Watcheを開発(図1参照)。WatcherにIPアドレスやドメイン名など自組織に関連した情報を通知対象として設定しておくと、それらの情報がCUREの中に現れた際、自組織宛てに即時通知が行われるという。
Watcherの通知対象として設定できる情報は、IPアドレス(IP Addr)、ドメイン名(Domain)、ハッシュ値(Hash)、メールアドレス(Email)、キーワード(Tag)の5種類(図2参照)。
Watcherの5つの小球体が散開し、左側のウィンドウ内で各Watcherの通知対象として設定されている情報が表示されている。
たとえば、Watcherに自組織が使用しているIPアドレスの範囲を設定しておくと、そのうちの1つがCUREの収集している悪性IPアドレスリストに載った際に、自組織に通知が行われる(図3参照)。これは、自組織のIPアドレスが何らかの原因でサイバー攻撃に加担させられた結果、悪性判定された可能性があり、そのIPアドレスについて自組織内で早急な調査が必要になるという。
通知対象に合致した情報がCUREに新たに登録されると「凝」アイコンが表示され、右側のウィンドウに検知された情報が表示される。
また、Watcherに自組織のドメイン名を設定しておくと、CUREの情報源のAmpPotがそのドメイン宛てのDRDoS攻撃を検知した際に、自組織(=被害組織)に通知が行われるという(図4参照)。DRDoS攻撃のような大量通信による攻撃は、被害組織単体では原因の切り分けが難しいため、外部からの通知は攻撃の早期検知と対処方針の決定に役立つとしている。
AmpPotによって自組織のドメインに対するDRDoS攻撃を検知した様子。多数のIPアドレス宛てに絨毯爆撃型攻撃が仕掛けられていることが分かる。
加えて、ハッシュ値は自組織に届いたマルウェアがCUREの情報源のハニーポットで捕獲されているかどうかや、セキュリティベンダのレポートに掲載されていないかの確認などに使えるという。メールアドレスは自組織で使用しているメールアドレスが、外部サービスからの漏えい情報に含まれていた際の検知などに役立つとしている。タグは、攻撃グループによるSNSでの自組織へのDDoS攻撃宣言の検知や、自組織の製品やサービスがセキュリティレポートで言及されていないかの確認などに使えると述べている。
CUREは、サイバーセキュリティ分野の産学官連携拠点「CYNEXアライアンス」の参画組織向けに開放されており、新機能CURE Watcherも順次利用可能にしていく予定だとしている。
【関連記事】
・NICT、「攻殻機動隊 SAC_2045」に没入しながらセキュリティ知識を習得できるゲーム機能を開発
・将来的には毎秒10テラビット超えの光通信技術確立へ NICT、高速光信号伝送技術の成功を発表
・NICT研究所長らが登壇 「クラウドストライク・バーチャル・フォーラム2022」開催へ
