最近、サイバー攻撃に関する調査でよく指摘されるのが、企業や組織において、攻撃が始まってから発覚するまでの期間の長期化だ。攻撃者が巧妙に侵入するため、気づかれにくくなっているという。攻撃の発見が遅れれば遅れるほど、被害は拡大することになる。調査結果でも、企業がサイバー攻撃から受ける被害は深刻化していることが明らかになっている。
そうした状態を回避する手段の1つが、攻撃をリアルタイムで可視化しているツールだ。同ツールを用いて世界中で発生している攻撃の状況や傾向をつかむことで、自社のセキュリティ対策に役立てることが可能だ。
以下、6つのツールのポイントを紹介しよう。
(1)NICTER WEB弐
「NICTER WEB弐」は、情報通信研究機構(NICT)がダークネットの観測を行い、サイバー空間上の不正なトラフィックを可視化しているツールだ。
ダークネットに到達したパケットを、世界地図上でアニメーション表示する可視化エンジン「Atlas」、ダークネットに到達したパケットを、その送信元と宛先の各種情報に基づいて、三次元空間に浮かぶ立方体の中にアニメーション表示する可視化エンジン「Cube」がある。
「Atlas」では、ダークネットに到着したパケットについて、送信元IPアドレスが属する国を割り出し、送信元の国の首都から日本国内のセンサーにパケットが飛来する様子を表示することで、世界的なマルウェアの活動傾向を把握することができる。
「Cube」では、立方体の縦軸に送信元/宛先IPアドレスを、横軸に送信元/宛先ポート番号を取り、送信元(左平面)から宛先(右平面)に向けてパケットを通過させることで、マルウェアによるスキャンのパターンや、DDoS攻撃のバックスキャッタなどが可視化される。
(2)Digital Attack Map
Digital Attack Mapは、Googleのシンクタンク部門であるGoogle IdeasとArbor Networksによって開発された、世界中のDDoS(Distributed Denial of Service attack:分散サービス妨害)攻撃のライブデータを視覚化するツール。
DDoSの過去の傾向や特定の日に発生したDDoSについて調べることが可能。大規模なDDoSのニュースとそのグラフを表示する「Gallery」も提供されている。
(3)CYBERTHREAT REAL-TIME MAP
CYBERTHREAT REAL-TIME MAPは、カスペルスキーが同社製セキュリティ対策製品から収集したデータを可視化しているツール。
「ファイルを開く/コピー/実行/保存した時に検知されたマルウェア」「添付ファイルで検知されたマルウェア」「Webページを開いた際に検知されたマルウェア」「IDSで検知された攻撃」「脆弱性スキャンで検知されたマルウェア」などが可視化される。ちなみに、スクリーンセーバーとして設定することも可能。
(4)FireEye Cyber THREAT MAP
Fireeye Cyber THREAT MAPは、FireEyeが提供している可視化ツール。どの国からどの国が攻撃しているかをリアルタイムで表示するほか、その日の総攻撃数、過去30日間で攻撃を受けた業種上位5位を表示している。
(5)Norse Attack Map
Norse Attack Mapは、日本ではあまり聞かないが、米国のセキュリティベンダーNorseが提供しているツール。
世界中に設置した800万個のハニーポットから収集したデータをもとに、攻撃元、攻撃の種類、攻撃先、リアルタイムで発生している攻撃の状況を表示している。なお、他のサイトに比べて、レスポンスが遅かったのが気になるところ。
(6)LIVE CYBER ATTACK THREAT MAP
LIVE CYBER ATTACK THREAT MAPは、Check Point Software Technologiesが提供している可視化ツール。
どの国からどの国に対してどのような攻撃が行われているかをリアルタイムで表示するほか、攻撃対象となっている主な国の一覧を表示している。地図上の国をクリックすると、その国が受けている攻撃の状況を確認できる。サッカーのワールドカップが開催されている期間だったせいか、サッカー場、サッカーボールを用いたグラフィックとなっていた。