NICT、セキュリティ情報融合基盤「CURE」のカスタム通知機能「Watcher」を開発、自組織に向けられた攻撃を早期検知

Watcherの5つの小球体が散開し、左側のウィンドウ内で各Watcherの通知対象として設定されている情報が表示される

　国立研究開発法人情報通信研究機構（NICT）は6月11日、セキュリティ情報融合基盤”CURE”のカスタム通知機能「Watcher」（ウォッチャ）を発表した。

　CUREは、サイバーセキュリティ関連情報を一元的に集約し、横断分析を可能にするセキュリティ情報基盤。インシデント分析センター「NICTER」、標的型攻撃を観測・分析するサイバー攻撃誘引基盤「STARDUST」、サイバー攻撃統合分析プラットフォーム「NIRVANA改」といったNICTが開発するシステムなどを情報源としている。

　これまで、CUREは、膨大な観測情報や分析情報を蓄積していたものの、組織におけるセキュリティ向上に対し、蓄積した情報をどのように生かすかが課題となっていた。

　Watcherは、IPアドレス、ドメイン名、ハッシュ値、メールアドレス、キーワードの5種類の情報を登録しておくことで、それらの情報がCUREの中に現れたときに即時通知する機能。Watcherの導入により、CUREを活用した自組織のセキュリティ向上が期待できるといしている。

　例えば、自組織のドメイン名を登録しておくことで、CUREの情報源の1つであるDRDoS攻撃（攻撃対象のネットワーク帯域を圧迫するDDoS攻撃の一種。リフレクション攻撃とも）観測用ハニーポット「AmpPot」がそのドメインあてのDRDoS攻撃を検知したときに、通知が行われる。DRDoS攻撃のような大量通信による攻撃の場合、被害組織単体では原因の切り分けが難しいため、Watcherのような外部からの通知は攻撃の早期検知と対処方針の決定に役立つという。

CURE Watcherによる通知。通知対象に合致した情報がCUREに新たに登録されると「凝」アイコンが表示され、右側のウィンドウに検知された情報が表示される

CURE WatcherによるDRDoS攻撃の検知。AmpPotによって自組織のドメインに対するDRDoS攻撃を検知した様子

　NICTでは、6月12～14日に幕張メッセで開催される「Interop Tokyo 2024」にて、CURE Watcherの展示を行う。また、サイバーセキュリティ分野の産学官連携拠点「CYNEXアライアンス」にもCURE Watcherを利用予定としている。