SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

予期せぬ事態に備えよ! クラウドで実現するIT-BCP対策 powered by EnterpriseZine

2024年7月10日(水)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZineニュース

NICT、セキュリティ情報融合基盤「CURE」の新機能を開発 蓄積した観測・分析情報をセキュリティ向上へ活用可能に

 情報通信研究機構(NICT)サイバーセキュリティ研究室は、セキュリティ情報融合基盤「CURE(キュア)」の新機能として、カスタム通知機能「Watcher(ウォッチャ)」を開発した。

 WatcherにIPアドレスやドメイン名など、自組織に関連した情報を通知対象として設定することで、CUREの保有する情報の中から自組織関連の攻撃情報などが通知可能となり、CUREを活用した組織のセキュリティ向上が期待できるという。

 NICTはサイバー攻撃の実態把握のためにCUREを開発し、サイバーセキュリティ関連情報の大規模集約を行ってきたという。CUREは、膨大な観測情報(Artifact)や分析情報(Semantics)を蓄積しているものの、それらの情報を様々な組織がどのようにしてセキュリティ向上に活かすかが課題だったとしている。

図1:CURE全体図(『Watcher』による通知対象の観測)中央水色の球体がCURE本体、青色と橙色の小球体はそれぞれ観測情報(Artifact)と分析情報(Semantics)を格納するデータベース。CURE Watcherは紫色の5つの小球体で構成され、それぞれが異なる通知対象を観測している。
図1:CURE全体図(『Watcher』による通知対象の観測)
中央水色の球体がCURE本体、青色と橙色の小球体はそれぞれ観測情報(Artifact)と分析情報(Semantics)を格納するデータベース。CURE Watcherは紫色の5つの小球体で構成され、それぞれが異なる通知対象を観測している。

 そこで今回、新機能としてカスタム通知機能Watcheを開発(図1参照)。WatcherにIPアドレスやドメイン名など自組織に関連した情報を通知対象として設定しておくと、それらの情報がCUREの中に現れた際、自組織宛てに即時通知が行われるという。

 Watcherの通知対象として設定できる情報は、IPアドレス(IP Addr)、ドメイン名(Domain)、ハッシュ値(Hash)、メールアドレス(Email)、キーワード(Tag)の5種類(図2参照)。

図2:CURE Watcherの通知対象表示 Watcherの5つの小球体が散開し、左側のウィンドウ内で各Watcherの通知対象として設定されている情報が表示されている。
図2:CURE Watcherの通知対象表示
Watcherの5つの小球体が散開し、左側のウィンドウ内で各Watcherの通知対象として設定されている情報が表示されている。

 たとえば、Watcherに自組織が使用しているIPアドレスの範囲を設定しておくと、そのうちの1つがCUREの収集している悪性IPアドレスリストに載った際に、自組織に通知が行われる(図3参照)。これは、自組織のIPアドレスが何らかの原因でサイバー攻撃に加担させられた結果、悪性判定された可能性があり、そのIPアドレスについて自組織内で早急な調査が必要になるという。

図3 CURE Watcherによる通知 通知対象に合致した情報がCUREに新たに登録されると「凝」アイコンが表示され、右側のウィンドウに検知された情報が表示される。
図3:CURE Watcherによる通知
通知対象に合致した情報がCUREに新たに登録されると「凝」アイコンが表示され、右側のウィンドウに検知された情報が表示される。

 また、Watcherに自組織のドメイン名を設定しておくと、CUREの情報源のAmpPotがそのドメイン宛てのDRDoS攻撃を検知した際に、自組織(=被害組織)に通知が行われるという(図4参照)。DRDoS攻撃のような大量通信による攻撃は、被害組織単体では原因の切り分けが難しいため、外部からの通知は攻撃の早期検知と対処方針の決定に役立つとしている。

図4:CURE WatcherによるDRDoS攻撃の検知 AmpPotによって自組織のドメインに対するDRDoS攻撃を検知した様子。多数のIPアドレス宛てに絨毯爆撃型攻撃が仕掛けられていることが分かる。
図4:CURE WatcherによるDRDoS攻撃の検知
AmpPotによって自組織のドメインに対するDRDoS攻撃を検知した様子。多数のIPアドレス宛てに絨毯爆撃型攻撃が仕掛けられていることが分かる。

 加えて、ハッシュ値は自組織に届いたマルウェアがCUREの情報源のハニーポットで捕獲されているかどうかや、セキュリティベンダのレポートに掲載されていないかの確認などに使えるという。メールアドレスは自組織で使用しているメールアドレスが、外部サービスからの漏えい情報に含まれていた際の検知などに役立つとしている。タグは、攻撃グループによるSNSでの自組織へのDDoS攻撃宣言の検知や、自組織の製品やサービスがセキュリティレポートで言及されていないかの確認などに使えると述べている。

 CUREは、サイバーセキュリティ分野の産学官連携拠点「CYNEXアライアンス」の参画組織向けに開放されており、新機能CURE Watcherも順次利用可能にしていく予定だとしている。

【関連記事】
NICT、「攻殻機動隊 SAC_2045」に没入しながらセキュリティ知識を習得できるゲーム機能を開発
将来的には毎秒10テラビット超えの光通信技術確立へ NICT、高速光信号伝送技術の成功を発表 
NICT研究所長らが登壇 「クラウドストライク・バーチャル・フォーラム2022」開催へ

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
関連リンク
この記事の著者

EnterpriseZine編集部(エンタープライズジン ヘンシュウブ)

「EnterpriseZine」(エンタープライズジン)は、翔泳社が運営する企業のIT活用とビジネス成長を支援するITリーダー向け専門メディアです。データテクノロジー/情報セキュリティの最新動向を中心に、企業ITに関する多様な情報をお届けしています。

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/news/detail/19849 2024/06/12 17:00

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング