 |
 |
記事検索 |
イベントレポート |
|
||||||||||||||||
|
||||||||||||||||
|
||||||||||||||||
|
||||||||||||||||
|
||||||||||||||||
|
インシデントの予兆をとらえるシステム、「ShowNet」で実証運用 |
||||||||||||||||
|
||||||||||||||||
|
|
||||||||||||||||
|
||||||||||||||||
|
||||||||||||||||
|
||||||||||||||||
|
||||||||||||||||
|
||||||||||||||||
|
||||||||||||||||
nicterは、ネットワークで観測・検知した攻撃にをマクロとミクロの視点から解析する。マクロ解析では、広域ネットワークを観測して攻撃をリアルタイムに自動分析。ネットワーク上の観測点に届くパケットについて、送信元IPアドレスとポート番号、宛先IPアドレスによる三次元表示で可視化する。これにより、新たな攻撃を発見したり、インシデントの予兆をとらえられるという。 ミクロ解析では、ハニーポットでインシデントの原因となっているマルウェアを捕捉し、1つのマルウェアにつき5分程度で自動解析する。そのマルウェアの構造や挙動、感染の仕組みを明らかできるとしている。 さらに、マクロとミクロの解析によるマルウェアの相関関係をマッチングする「マクロ‐ミクロ相関分析システム」を搭載。これにより、ネットワーク上で起こっている現象とその原因を結びつけられるという。「新たなインシデントの兆候が直感的にわかるため、迅速かつ適切な対策の導入につながる」(担当者)。 会場では、Interop Tokyo 2007の会場ネットワーク「ShowNet」に対する攻撃を観測するデモを披露。それによれば、1434番ポート(マイクロソフトのSQL Serverが利用しているポート)への攻撃が多く見られたほか、ShowNetで使われていないIPアドレスへの攻撃が散見された。 この現象について担当者は、「1434番ポートを狙うのは、多くの場合Slammerワームが原因。このワームは4年以上前に検知されたものだが、未だにバックグラウンドノイズのように出回っていることがわかる。また、未使用のIPアドレス宛の攻撃が多いのは、ワームもしくはボット感染PCが無作為に攻撃していることを表わしている」と分析する。nicterは現在研究段階だが、1~2年で実運用を目指すという。
関連情報 ■URL Interop Tokyo 2007 http://www.interop.jp/ ニュースリリース http://www2.nict.go.jp/pub/whatsnew/press/h19/070606/070606.html
( 増田 覚 )
- ページの先頭へ-
|
