Internet Watch logo
記事検索
イベントレポート
【 2009/06/12 】
ひろゆき氏&夏野氏が講演「日本のネットは決してダメじゃない」
[18:57]
携帯ゲーム機のような見た目のNGN対応回線品質測定器
[14:28]
ISAO、IPデータキャストを利用したサービスイメージを展示
[11:33]
【 2009/06/11 】
アナログ停波後の周波数帯域を利用したマルチメディアサービス
[18:50]
日テレが「ニュース検索API」などを紹介、国内の地上波放送局初
[18:36]
UQ Com田中社長、高速&オープン志向「UQ WiMAX」のメリット語る
[17:45]
主催者企画コーナーでは「ServersMan@iPhone」のデモも
[11:13]
国内初のデジタルサイネージ展示会、裸眼で見られる3D映像など
[11:12]
【 2009/06/10 】
CO2排出量が都内最多の地域、東大工学部のグリーンプロジェクト
[20:01]
IPv4アドレス枯渇で「Google マップ」が“虫食い”に!?
[19:29]
UQ Com、7月の有料サービス開始に向けて「UQ WiMAX」をアピール
[19:20]
「Interop Tokyo 2009」展示会が開幕、今年はひろゆき氏の講演も
[14:53]

インシデントの予兆をとらえるシステム、「ShowNet」で実証運用


Interop Tokyo 2007のネットワーク「ShowNet」への攻撃パケットを三次元表示。観測点に届くパケットの送信元情報をもとに世界地図上にプロットしている
 情報通信研究機構(NICT)は「Interop Tokyo 2007」において、ネットワーク上の攻撃をリアルタイムに分析するインシデント対策システム「nicter」を出展している。

 nicterは、ネットワークで観測・検知した攻撃にをマクロとミクロの視点から解析する。マクロ解析では、広域ネットワークを観測して攻撃をリアルタイムに自動分析。ネットワーク上の観測点に届くパケットについて、送信元IPアドレスとポート番号、宛先IPアドレスによる三次元表示で可視化する。これにより、新たな攻撃を発見したり、インシデントの予兆をとらえられるという。

 ミクロ解析では、ハニーポットでインシデントの原因となっているマルウェアを捕捉し、1つのマルウェアにつき5分程度で自動解析する。そのマルウェアの構造や挙動、感染の仕組みを明らかできるとしている。

 さらに、マクロとミクロの解析によるマルウェアの相関関係をマッチングする「マクロ‐ミクロ相関分析システム」を搭載。これにより、ネットワーク上で起こっている現象とその原因を結びつけられるという。「新たなインシデントの兆候が直感的にわかるため、迅速かつ適切な対策の導入につながる」(担当者)。

 会場では、Interop Tokyo 2007の会場ネットワーク「ShowNet」に対する攻撃を観測するデモを披露。それによれば、1434番ポート(マイクロソフトのSQL Serverが利用しているポート)への攻撃が多く見られたほか、ShowNetで使われていないIPアドレスへの攻撃が散見された。

 この現象について担当者は、「1434番ポートを狙うのは、多くの場合Slammerワームが原因。このワームは4年以上前に検知されたものだが、未だにバックグラウンドノイズのように出回っていることがわかる。また、未使用のIPアドレス宛の攻撃が多いのは、ワームもしくはボット感染PCが無作為に攻撃していることを表わしている」と分析する。nicterは現在研究段階だが、1~2年で実運用を目指すという。


「nicter」の概要

「ShowNet」に設置したハニーポットで捕獲したマルウェア マルウェアの解析結果

関連情報

URL
  Interop Tokyo 2007
  http://www.interop.jp/
  ニュースリリース
  http://www2.nict.go.jp/pub/whatsnew/press/h19/070606/070606.html


( 増田 覚 )
2007/06/14 15:26

- ページの先頭へ-

INTERNET Watch ホームページ
Copyright (c) 2007 Impress Watch Corporation, an Impress Group company. All rights reserved.