サイバーセキュリティ技術の 研究開発成果と今後の課題 - nict...nirvana改 d...
TRANSCRIPT
NICTERNetwork Incident analysis Center for Tactical Emergency Response
サイバーセキュリティ技術の研究開発成果と今後の課題
井上 大介国立研究開発法人 情報通信研究機構
ネットワークセキュリティ研究所 サイバーセキュリティ研究室
サイバー攻撃対策総合研究センター サイバー防御戦術研究室1
NICTERNetwork Incident analysis Center for Tactical Emergency Response
NICTのサイバーセキュリティ研究体制
2
サイバーセキュリティ研究室 世界最先端のサイバー攻撃観測・分析・対策・予防を実現する技術基盤を構築し、社会課題の解決に貢献
ネットワークセキュリティ研究所 (NSRI)
2011年~
サイバー攻撃検証研究室 StarBEDで培ったエミュレーション技術を用い、セキュリティ実験環境を容易に構築・活用する技術を確立
サイバー防御戦術研究室 NICTERで培った基盤技術を用い、標的型攻撃等に対する根源的な防御戦術を立案・実現
サイバー攻撃対策総合研究センター (CYREC)
2013年~ +
NICTERNetwork Incident analysis Center for Tactical Emergency Response
NICTER
インシデント分析センタ NICTER
対サイバー攻撃アラートシステム DAEDALUS ネットワークリアルタイム可視化システム
NIRVANA
サイバー攻撃統合分析プラットフォーム
NIRVANA改
3
NICTERNetwork Incident analysis Center for Tactical Emergency Response
主な研究成果・活動 !!ダークネット系
"! NICTER観測規模 14万アドレス → 30万アドレス "! 静的センサ配置 → 動的センサ配置(Ghost Sensor) "! 新たな脅威の発見(リフレクタ探索、IoT機器の大規模感染 etc.) "! 観測・分析情報の外部提供(地方自治体、ACTIVEプロジェクト etc.)
!!ライブネット系 "! NICT内ネットワークをテストベッド化(ライブネット観測・分析機構構築) "! ライブネット高速分析エンジン開発(低速Scan検知、NW境界侵害検知 etc.) "! サイバー攻撃統合分析プラットフォーム NIRVANA改 開発
!!その他 "! 機械学習/データマイニングのサイバーセキュリティ応用 "! IPv6セキュリティ(IPv6大規模テストベッド構築、国内/国際ガイドライン化) "! ドライブ・バイ・ダウンロード攻撃対策フレームワーク構築 "! サイバー模擬攻防戦 CTF可視化エンジン開発 "! サイバー演習支援(サイバー攻撃検証研究室)
4
NICTERNetwork Incident analysis Center for Tactical Emergency Response
システム開発のタイムライン
5
2011.4 2012.4 2013.4 2014.4 2015.4 2016.4
C
AMATERAS零 SECCON Custom
L
NIRVANA
C
AMATERAS零
2013.4 2014.4
CYREC Started
D
DAEDALUS
D
NICTER WEB
C
NIRVANA改 SECCON Custom Mk-II
L
NIRVANA改
End Host Monitoring / Auto Actuation
C
NIRVANA改 SECCON Custom
Da
rkne
tLi
vene
tC
TF
L
NIRVANA改
D
DAEDALUS 2nd Evolution
NICTERNetwork Incident analysis Center for Tactical Emergency Response
インシデント分析センタ NICTER
(Network Incident analysis Center for Tactical Emergency Response)
6
NICTERNetwork Incident analysis Center for Tactical Emergency Response
NICTERの全体像
7
NICTER
相関分析 システム
相関分析 エンジン
分析者ワークベンチ
政府・官公庁
一般ユーザ
インターネット サービスプロバイダ
インシデント アラート発行
インシデント ハンドリングシステム
現 象
原 因
!
!
!
マクロ解析システム 可視化エンジン 分析エンジン
Tiles Cube Atlas
ミクロ解析システム マルウェア 静的解析 マルウェア 動的解析
ネットワーク モニタリング
マルウェア 検体収集
ウイルス
ボット
ワーム
ウイルス
ハニーポット
NICTER Alert ------------ ------------ ------------
NICTERNetwork Incident analysis Center for Tactical Emergency Response
NICTER
8
NICTERNetwork Incident analysis Center for Tactical Emergency Response
ダークネットで見えるもの !!インターネット上で何かを探す行為
"!ワーム型マルウェアによるスキャン "!リフレクタ探索(DNS Open Resolver探索、NTP探索 etc.) "! IoT機器からのスキャン "!セキュリティ関連組織等による定期スキャン
!!DoS攻撃の跳ね返り "!DDoSバックスキャッタ
※ 送信元IPアドレス偽装されたSYN Floodへの応答
"!DNS水責め攻撃のバックスキャッタ ※送信元IPアドレス偽装されたランダムサブドメイン攻撃
!!設定ミス
9
Darknet
NICTERNetwork Incident analysis Center for Tactical Emergency Response
10
NICTERダークネット観測統計 年 年間
総観測パケット数 観測IPアドレス数 1 IPアドレス当たりの 年間総観測パケット数
2005 3.1 1.6 19,066
2006 8.1 10 17,231
2007 19.9 10 19,118
2008 22.9 12 22,710
2009 35.7 12 36,190
2010 56.5 12 50,128
2011 45.4 12 40,654
2012 77.8 19 53,085
2013 128.8 21 63,655
2014 256.6 24 115,323
2015 545.1 28 213,523
0
50,000
100,000
150,000
200,000
250,000
2005 2006 2007 2008 2009 2010 2011 2012 2013 2014 2015
1 IPアドレス当たりの年間総観測パケット数
NICTERNetwork Incident analysis Center for Tactical Emergency Response
宛先ポート番号別パケット数(2015年)
11
24%
8%
5%
3%
2% 2%
2% 2% 2% 2%
48%
23/tcp
445/tcp
22/tcp
80/tcp3389/tcp
53413/udp443/tcp53/udp
Other Ports
NICTERNetwork Incident analysis Center for Tactical Emergency ResponseNICTERNetwork Incident analysis Center for Tactical Emergency ResponseNetwork Incident analysis Center for Tactical Emergency Response
!"#
IoT
12
※横浜国大による調査
NICTERNetwork Incident analysis Center for Tactical Emergency Response
攻撃元IoTデバイス - 横浜国立大学 吉岡研究室による調査結果 -
•! �#Gej��–! 36.Gej�–! WOSl]WFmLrT�
•! [UXorI��–! lrSqKrXCDB�–! fWd�–! _kUO�–! � lrS�–! QHhkVA@`jB@pP�
•! +%*(��–! 8<36KrXCDB�–! 36+%.�–! 275lrS�–! @ZnJ+%@T`S�
•! Bp^j�–! -&��NPVd�–! 410WAP`mB��NPVd�
•! ��NPVd�–! RkUYPVrXmLrT�–! BpSr[UX��fOhrl�–! QpM�#"!�–! ]l��NPVd�
•! �q���=�–! 9;:Gej�–! ]WFmLrT�–! ardFrXerNip29�
•! �'*(��–! ��)�NPVd.�–! WOSl,�mLrT�–! ]WFEpLrT/WLrT�–! QUXXU`bUIPq@pVZ.�
•! >?��–! \rXcp`�–! ����NPVd�–! WAPI$�"!�–! ��PHgZ� 13
※ デバイスはWebおよびTelnetの応答から判断
NICTERNetwork Incident analysis Center for Tactical Emergency Response
23/TCP 53413/UDP 2015 1 2016 2
14
NICTERNetwork Incident analysis Center for Tactical Emergency Response
15
NICTERの成果展開:国内展開 ダークネット観測結果の共有・提供
!!SIGMON(定点観測友の会) "! 参画組織:JPCERT/CC、IPA、@Police、NICT、国内大学等 "! ダークネット観測結果を情報共有(2004年~)
!!DoS攻撃即応-WG(Telecom-ISAC Japan)
"! 国内ISPによるDoS攻撃への迅速な対応と協調対処 "! Backscatter等の情報を提供(2011年~)
!!ACTIVE(総務省)
"! 『国民のマルウェア対策支援プロジェクト』 "! 感染ユーザのIPアドレスを提供(2014年~) "! ISPを経由した感染ユーザへの注意喚起
ACTIVE (www.active.go.jp)
NICTERNetwork Incident analysis Center for Tactical Emergency Response
16
NICTERの成果展開:国内展開 マルウェア解析結果の提供
!! マルウェア自動解析で得られた悪性URL情報を毎日提供 !! NetSTAR社経由でトレンドマイクロ社がURLフィルタ製品に活用
NICTERトレンドマイクロ InterScan WebManager http://www.trendmicro.co.jp/jp/business/products/iswm/
NICTERNetwork Incident analysis Center for Tactical Emergency Response
対サイバー攻撃アラートシステム
DAEDALUS
Direct Alert Environment for Darknet And Livenet Unified Security
17
NICTERNetwork Incident analysis Center for Tactical Emergency Response
境界防御技術とDAEDALUS
DAEDALUS
18
組織内ネットワーク
境界防御技術
組織内ネットワーク
組織外からの攻撃をネットワーク境界で検出
NICTER
組織内からの攻撃をネットワーク広域で検出
NICTERNetwork Incident analysis Center for Tactical Emergency Response
DAEDALUS-VIZ
19
NICTERNetwork Incident analysis Center for Tactical Emergency Response
DAEDALUSの成果展開:国内展開 地方自治体へのアラート提供
20
!! 2013 11 1 ‒! 地方公共団体情報システム機構(J-LIS)を窓口として自治体より申込受付 ‒! アラート発生時の対応マニュアルをNICTとJ-LISで整備
自治体 自治体
J-LIS 情報セキュリティ対策支援
サイバー攻撃検知通報 (フィールド実証実験)
NICT
DAEDALUS システム
地方自治体
申込申請 観測対象 登録申請
アラート送信
47自治体 2013 11
553自治体 2016 1
対応 マニュアル
NICTERNetwork Incident analysis Center for Tactical Emergency Response
21
DAEDALUSの成果展開:国際展開
ASEAN諸国へのアラート提供 !! サイバー攻撃予知即応プロジェクトPRACTICE及びDAEDALUSから成るセキュリティにおける技術協力の強化(出典:総務省)
PRACTICE Proactive Response Against Cyber-attacks
Through International Collaborative Exchange
DAEDALUS Direct Alert Environment for
Darknet And Livenet Unified Security
JASPER Japan-ASEAN Security Partnership
JASPER Japan-ASEAN
JASPER ecurity Partnership
NICTERNetwork Incident analysis Center for Tactical Emergency Response
22
クルウィット『SiteVisor』 ディアイティ『SiteVisor Professional』
DAEDALUSの成果展開:商用展開
一般企業へのアラート提供 !! SiteVisor: DAEDALUSに基づく商用アラートサービス(クルウィット社)
!! SiteVisor Professional: インシデント発生時のレスポンスサービス(ディアイティ社)
NICTERNetwork Incident analysis Center for Tactical Emergency Response
ネットワークリアルタイム可視化システム NIRVANA
NICTER Real-network Visual ANAlyzer
23
NICTERNetwork Incident analysis Center for Tactical Emergency Response
NIRVANA
24
ライブネットを 見える化
ネットワーク管理者 の負荷を軽減 (輻輳・切断等の障害、
設定ミス等を瞬時に発見可能)
管理コスト の軽減
(管理の迅速化 ・効率化)
パケットモード フローモード
NICTERNetwork Incident analysis Center for Tactical Emergency Response
25 日本ラッド
NIRVANAの成果展開:商用展開
NIRVANA-R !! NIRVANAをパッケージ化した商用アプライアンス !! 日本ラッド社より販売中
NICTER日本ラッド
NICTERNetwork Incident analysis Center for Tactical Emergency Response
26 横河電機
NIRVANAの成果展開:商用展開
ネットワーク健全性確認サービス !! NIRVANAベースの制御システム向けセキュリティサービス !! 横河電機がサービス化、制御システムに導入
横河電機 NICTER
26 26 NICTER
26 NICTER
横河電機 横河電機
NICTERNetwork Incident analysis Center for Tactical Emergency Response
横河電機:ネットワーク健全性確認サービス
27
通信元
通信先
通信内容 ・プロトコル ・ポート番号 ・頻度
!! NIRVANAによるネットワークモニタリング !!送信元/宛先をマトリクス化し、通常の通信状態を学習 !!定期的にマトリクスの差分チェックを行い異常検知
NICTERNetwork Incident analysis Center for Tactical Emergency Response
NIRVANA改
NICTER Real-network Visual ANAlyzer KAI
28
NICTERNetwork Incident analysis Center for Tactical Emergency Response
標的型攻撃
29
•! 特定組織を標的にした長期に渡る執拗なサイバー攻撃•! 周到な内容のメールに添付されたマルウェアで組織に侵攻 •! 組織内ネットワークに潜伏・浸透し重要情報を収奪
標的型攻撃のCyber Kill Chain 諜報 侵攻 潜伏 橋頭堡
確保 索敵 浸透 占領 収奪 撤収
TECH.ASCII.jp「9.5社に1社が対象に!シマンテックが明かす日本の標的型攻撃」 http://ascii.jp/elem/000/000/652/652712/ (2011-11-30)
NICTERNetwork Incident analysis Center for Tactical Emergency Response
日本年金機構への標的型攻撃
30
!! 2015年6月1日 125万件の年金情報の漏洩を発表 !!標的型攻撃メールが起点となり『Emdivi』に感染
番号 受信日 不審メールの概要
Ⅰ 5月8日(金) 件名:「厚生年金基金制度の見直しについて(試案)に関する意見」 宛先:公開メールアドレス(2) リンク:商用オンラインストレージ
Ⅱ 5月18日(月) 件名:給付研究委員会オープンセミナーのご案内 宛先:非公開の個人メールアドレス(98) 添付ファイル:給付研究委員会オープンセミナーのご案内.lzh
Ⅲ 5月18日(月)
~ 5月19日(火)
件名:厚生年金徴収関係研修資料 宛先:非公開の個人メールアドレス(20) 添付ファイル:厚生年金徴収関係研修資料(150331厚生年金徴収支援G).lzh(16) リンク:商用オンラインストレージ(4)
Ⅳ 5月20日(水) 件名:【医療費通知】 宛先:公開メールアドレス(3) 添付ファイル:医療費通知のお知らせ.lzh
※ 表中の括弧内の数字はメールの件数を表す。
(NISC 「日本年金機構における個人情報流出事案に関する原因究明調査結果」)
日本年金機構への標的型攻撃メール
NICTERNetwork Incident analysis Center for Tactical Emergency Response
31
NISCによる調査結果
(NISC 「日本年金機構における個人情報流出事案に関する原因究明調査結果」)
NICTERNetwork Incident analysis Center for Tactical Emergency Response
32
!!対策研究に必要なデータ取得が困難 "!大規模観測の網にかからない "!攻撃を受けた組織からデータが出てこない
•! 侵入の痕跡は消されている •! トラフィックログを長期間保存している組織は稀 •! 組織の秘密情報が含まれるため組織外提供が不可
!!対策検証環境の未整備
"!攻撃を再現できる検証環境がない "!攻撃に対抗するための多層防御の検証環境がない
標的型攻撃研究の難しさ(2011年当時)
作るしかない!
NICTERNetwork Incident analysis Center for Tactical Emergency Response
33
Capture + Analysis�
VPN�Tapping Network Traffic on Each Buildings�
Aggregation + Deduplication�
Filter + Distribution�
Database�
Analysis Engines�
Traffic�
Aggregated Traffic�
SAN Storage�
Aggregation TAP�
VPN Router�Aggregation
TAP�
Optical TAP�
20PB
ライブネット観測・分析機構 構築
NICTERNetwork Incident analysis Center for Tactical Emergency Response
NICT-CSIRT 構築
34
NICT 機構ネットワーク 機構ネットワーク
情報システム室 !! ネットワーク構築・運用
!! 機構ネットワーク監視 !! インシデントレスポンス
NICTER34 34
NICTER34
NICTER
機構ネットワーク
サイバーセキュリティ研究室 サイバー防御戦術研究室
!! 研究開発成果の導入・運用 !! 機構ネットワーク監視 !! インシデントレスポンス
NICT-CSIRT
!!NICT内ネットワークを研究開発成果の実践の場に !!情報システム室と連携しインシデントレスポンス
NICTERNetwork Incident analysis Center for Tactical Emergency Response
なぜ止められない?標的型攻撃
35
!!単一のセキュリティ機器だけでは検出困難
!!ネットワーク内部での攻撃に境界防御は無力
!!ネットワーク系とエンドホスト系対策の断絶
!!防御策実施までのタイムラグ
単一のセキュリティ機器だけでは検出困難改
複数機器を連携させる統合分析プラットフォーム
組織の末端までセンサ設置しリアルタイム分析 ネットワーク内部での攻撃に境界防御は無力改
ネットワーク系とエンドホスト系対策の断絶改
ネットワークからエンドホストへシームレスに没入
防御策実施までのタイムラグ改
相関分析結果に基づく防御策の自動展開
NICTERNetwork Incident analysis Center for Tactical Emergency Response
NIRVANA改の特長
36
!!組織内の末端までリアルタイム分析
!!複数のセキュリティ機器のアラート集約
!!ドリルダウン機能付き可視化エンジン
!!ネットワーク系対策とホスト系対策の融合
!!分析結果に基づく防御策の自動展開
基本機能
エンドホスト連携機能
自動防御機能
NICTERNetwork Incident analysis Center for Tactical Emergency Response
NIRVANA改
NIRVANA改 システム詳細
37
KOMUSUBI
DB
NIRVANA
DB
ミラー トラフィック
セキュリティアプライアンス
syslog
NICT製 検知エンジン #! DarkNet
•! DAEDALUS #! LiveNet
•!低速スキャン検出 •!セグメント侵害検出 •!ブラックリスト
DB + UI
DB
アクチュエーション対象 #! Juniperスイッチ #! Ciscoルータ #! OpenFlowスイッチ #! FFR yarai
エンドポイントセキュリティ DB
NICTERNetwork Incident analysis Center for Tactical Emergency Response
NIRVANA改
38
NICTERNetwork Incident analysis Center for Tactical Emergency Response
39 DIT
NIRVANA改の成果展開:商用展開
WADJET(ウジャト) •! NIRVANA改をパッケージ化した商用アプライアンス •! DIT社より販売中
DIT
NICTERNetwork Incident analysis Center for Tactical Emergency Response
その他の取り組み
40
NICTERNetwork Incident analysis Center for Tactical Emergency Response
!! 機械学習/データマイニングのサイバーセキュリティ応用 "! ダークネットトラフィックの変化点検出(Change Point Detector) "! SVMによるマルウェアのパッカー特定 etc. etc... "! International Data Mining and Cybersecurity Workshop (DMC) 主催 "! International Cybersecurity Data Mining Competition (CDMC) 主催
!! ドライブ・バイ・ダウンロード攻撃対策フレームワーク "! NICT委託研究(KDDI研究所、セキュアブレイン) "! ブラウザプラグイン型センサ "! ユーザ参加型実証実験(1000人規模) "! 実証実験検討委員会
•! 菊池浩明 教授(明治大) •! 高木浩光 主任研究員(産総研) •! 石井夏生利 准教授(筑波大)
41
!
DBD攻撃大規模観測網
DBD攻撃分析技術 DBD攻撃対策技術
その他の取り組み(1/3)
NICTERNetwork Incident analysis Center for Tactical Emergency Response
!! 次世代サイバー攻撃観測技術 Ghost Sensor#1 "! 仮想センサを分散配置 "! センタ側での動的センサ割り当て "! 予測型のセンサ割り当て
!! IPv6セキュリティ "! NICTを中心にIPv6技術検証協議会を設立 "! 大規模v6環境で40種の攻撃検証 "! 検証結果を国内ガイドライン化 "! ITU-T勧告化(X.1037)
!! 国際標準化 "! ISO/IEC 27032 (Guidelines for Cybersecurity) "! ITU-T X.1037 (IPv6 Technical Security Guidelines) "! ITU-T Software update capability for ITS communications devices "! IETF draft-ietf-mile-iodef-guidance
42
その他の取り組み(2/3)
次世代サイバー攻撃観測技術Ghost Sensor
VirtualSensor
VirtualSensor Virtual
Sensor
BlackholeSensor
High-int’Honeypot
WebCrawler
Connection Manager
VPN Tunnel
Virtual Machine
Physical Mahine
WebCrawler
Low-int’Honeypot
BlackholeSensor
Global Internet
Analysis Center
Suspicious webserver
Malware
WWW
Malware
1. Web Crawling 2. Blackholemonitoring
3. High/Lowinteractionmonitoring
Gate Keeper: Sensor AgentSA
SA
SA
SA SA
SASA
NICTER
#1 GOHST: Global, Heterogeneous, and Optimized Sensing Technology
Software update capability for ITS communications devices
IPv6大規模テストベッド マイクロソフト大手町テクノロジーセンター
NICTERNetwork Incident analysis Center for Tactical Emergency Response
!!国内外組織へのセンサ設置 "! 実データ収集・解析基盤の構築
!!マルウェア対策研究人材育成WS
"! データセット提供(NONSTOPシステム) !!セキュリティ競技大会 SECCON
"! CTF専用可視化エンジン提供 !!実践的サイバー防御演習 CYDER
"! 演習用模擬ネットワーク環境提供 !!堅牢化技術競技 Hardening
"! 競技用模擬ネットワーク環境提供 !! 産学官連携の中核拠点構築
"! NICT+企業のエース級研究者を結集 (NTT、富士通、サイバーディフェンス、セキュアブレイン、ニッシン、 日立システムズ、構造計画研究所 etc.)
マルウェア対策研究人材育成WS
SECCON 全国大会カンファレンス
国内外組織へのセンサ設置
実践的サイバー防御演習 CYDER
堅牢化技術競技 Hardening
43
その他の取り組み(3/3)
NICTERNetwork Incident analysis Center for Tactical Emergency Response
今後の課題
44
NICTERNetwork Incident analysis Center for Tactical Emergency Response
今後の課題(1/2)
45
!!より能動的・網羅的なサイバー攻撃観測技術の確立 "! Passive(第2期)→Flexible(第3期)→Active(第4期) "! “目”の拡張(IoT機器用センサ、Smart Phone用センサ、Home Network用センサ etc.)
!!AI技術のサイバーセキュリティ応用 "! 観測の自動化:予測型動的観測、AIクローリング etc. "! 分析の自動化:マルチモーダル自動分析、学習型マルウェア自動分析 etc. "! 必要なブレークスルー
•! リアルタイム性(現状:高次元の特徴量を扱うリアルタイム分析は不可) •! 教師あり学習から教師なし学習へ(現状:要教師データ、未知の攻撃検知は不可) •! チューニング問題の克服(現状:組織ごとの精緻なカスタムチューニングが必須) •! 原因への遡及(現状:機械は攻撃検知の原因を表現不可)
!!可視化ドリブンなセキュリティオペレーションの確立 "! 第2期:サイバー攻撃を可視化 "! 第3期:アラートを可視化 "! 第4期:可視化エンジンでオペレーションを完結
•! UIのユーザビリティ向上 •! 検索、フィルタ機能の強化 •! セキュリティ機器との連携強化 •! マルチプラットフォーム化(WebGL化) etc.
NICTERNetwork Incident analysis Center for Tactical Emergency Response
今後の課題(2/2)!!セキュリティ関連情報を大規模集約
"! 各種観測情報 "! マルウェア検体/解析結果 "! セキュリティ機器のアラート情報 "! 脆弱性情報、資産情報 "! セキュリティNews/Blog etc...
!!マッシュアップと自動対策 "! 複数情報源の紐付け "! 攻撃キャンペーンの解明 "! 組織やユーザへの自動対策展開
!!セミ・オープン研究基盤 "! CURE格納情報の外部研究利用 "! 機微情報への階層的アクセス制御 "! CUREを核にしたAll Japan体制の サイバーセキュリティ研究基盤創立
To Security Intelligence
From Security Big Data
CURE
Darknet
Livenet
DNS DB
Proxy Log
Honeypot (high/low)
AmpPot
IoTPoT
SPAM
Web Crawler
DBD (browser)
C&C URL
Malware (exe)
Malware (result)
Events
Alerts
Vulnerability
Asset Info
Security News
Security Blogs
46