NICT、サイバー攻撃の状況を可視化する「DAEDALUS」を披露


 未使用のIPアドレスに送信されるパケットを観測することで、サイバー攻撃を可視化するアラートシステム「DAEDALUS(ダイダロス)」のデモが、幕張メッセで開催中の「Interop Tokyo 2012」の独立行政法人情報通信研究機構(NICT)ブースで行われている。

NICTの対サイバー攻撃アラートシステム「DAEDALUS」

 DAEDALUSは、NICTが研究開発を進めているインシデント分析システム「nicter」の大規模ダークネット観測網を活用した対サイバー攻撃アラートシステム。ダークネット(未使用IPアドレス)を相手先とするパケットは通常の場合には発生しないが、マルウェアなどが感染活動として無差別なIPアドレスに対して攻撃パケットを送信する場合や、DoS攻撃の跳ね返りパケットなどでダークネットに対するパケットが観測されるため、これを大規模に観測することでサイバー攻撃の状況を捕捉する。

 観測対象となる組織が多ければ、それだけ多くのサイバー攻撃の状況がつかめるため、NICTでは6月6日にこのシステムの外部展開を開始。組織のIPアドレスブロックを登録することで攻撃を外部から観測する方法に加え、組織内にnicterのセンサーを設置してもらい、組織内ネットワークのマルウェア感染などを検知する内部観測も行なっている。

 こうしてセンサーで観測した結果の可視化エンジンがDAEDALUSで、中央にインターネットを示す球体、周辺に観測対象の組織を示すリングが配置され、ダークネットに対するパケットの状況を可視化している。ウイルスなど内部に不正なパケットを送信しているマシンがある場合には「警」のマークで警告を表示。新規の異常が検知された場合には、画面全体に警告を強調表示する。

 Interop Tokyo 2012の会場ネットワークも観測対象となっており、ブース内のデモマシンでは、Interopのダークネットに対して多数のパケットが送信されている様子を見ることができる。


関連情報


(三柳 英樹)

2012/6/15 12:40