セキュリティ対策を検討する上で最初に起こすべき行動は、現状のシステム環境を正確に把握することです。ただし、社内ネットワークの環境を調べるために手元のログファイルをただ眺めるだけでは、課題を見つけ出すことができません。この連載ではネットワークセキュリティ脅威の「可視化」をテーマに、端末管理やUTM/IPS、エンドポイント、Webやメール、脆弱性などの検知・検査ログを見える化し、有益な情報を得るための方法を解説します。

改めて「可視化」とは?

本題へ入る前に、「可視化」のトレーニングをやってみましょう。仕事/プライベートを問わず、「インターネット」は欠かすことのできないインフラとなっていますが、、「いつ頃から」「どれほどの企業が」利用しているのでしょうか。

これを”可視化”する手立ては総務省 統計局 e-Stat 政府統計の総合窓口にあります。国勢調査をはじめ、産業、文化、気象などのあらゆる政府統計情報を得ることができる便利なサイトです。ここで、「統計データを探す」の「政府統計全体から探す」→「総務省」→「通信利用動向調査」とたどると、平成8年から27年までの「インターネットの利用状況」が数値データとして得られます。

これをグラフ化すると、「約20年前は半数の企業がインターネットを使っていなかったが、そこから5~6年間で利用者が増加し、15年前からほぼすべての企業がインターネットを使っている」ということがわかります。このように、漠然とした疑問(課題)に対して「適切なデータを集めて可視化する」ことで、どういう環境にあるかをひと目で把握できるわけです。

意外に多い、サイバー攻撃の可視化サイト

では、本題の一つ「サイバー攻撃の可視化」です。

実は、Web上に攻撃の様子を可視化して外部に無償公開している企業・団体は数多く存在します。現在どういった攻撃が行われているのか把握することは、サイバーセキュリティの第一歩です。自社で契約しているセキュリティベンダーからの情報と、こうしたWebサイトの情報を組み合わせることで、より高度なセキュリティ対策を講じることができます。なお、ブラウザによっては正しく表示されないサイトもありますが、Google Chromeが比較的良好のようです。

NORSE LIVE ATTACKS

NORSE LIVE ATTACKSは世界中に800万台以上のセンサーを設置し、6000以上のデバイスやアプリケーションをエミュレートした巨大なハニーポットによって攻撃テレメトリーを提供しています。

画面では攻撃元の国や攻撃プロトコル、攻撃先の国の上位国が表示されるほか、個々の攻撃がライブ表示されて、派手な演出で視覚的にも印象が残ります。しばらく眺めているとDDoSと思しき攻撃を見ることもあります。ただ注意が必要な点として、攻撃元となっている国が踏み台にされている可能性もあるため、このビジュアルがそのまま国家間の争いを示すものではないということです。

Google Digital Attack Map

Google Digital Attack Mapは、GoogleとArbor Networksが協力して、世界中の270以上のISPから情報提供を受けてDDoSを可視化しているWebサイトです。送信元/送信先のポートや継続時間、攻撃方法を国別と時系列で見ることができ、攻撃の傾向が把握できます。

Galleryでは過去の大きな攻撃、例えば「Sept. 22, 2016」を選ぶとMiraiボットネットによるKrebs on Securityを狙ったDDoS攻撃(620Gbps)の様子が見られます。また、日付を2016/8/22に設定して国を「日本」、Show Attacksを「Unusual」、Color Attacks Byを「Source Port」に選択すると、国内の複数Webサイトが接続できなくなったDDoS事件で、世界中からDNS Reflection攻撃を受けていた様子がわかります。

Kaspersky CYBERTHREAT REAL-TIME MAP

Kaspersky CYBERTHREAT REAL-TIME MAPでは、カスペルスキー製品が検知した脅威を、検知エンジンの種類別に色分けして可視化しています。マップ(色、2D/3D切替可能)や統計データ(秒あたりの検知数グラフ)のほか、時おりクールな3D演出もあります。エンドポイントで検知したネットワーク攻撃(IDS)を可視化できるのは、カスペルスキーだけのようです。

Akamai Visualizing Global Internet Performance

Akamai Visualizing Global Internet Performanceは世界のWebトラフィックのうち、15~30%を提供する Akamai CDN サーバのトラフィックや、再生されているリッチメディアのトラフィック量などが可視化されています。

何種類かの画面がありますが、「Visualizing the Internet (Web) 都市別のインターネット利用状況の可視化」のAttacks(Konaによる過去1時間のDDoS/WAF攻撃検知数など)を見ると、限りあるインターネットリソースをAkamaiが守っている様子がわかります。

FIREEYE CYBER THREAT MAP

FIREEYE CYBER THREAT MAPは、ファイア・アイが収集した実際の攻撃データを可視化。攻撃者側は黄色四角で、攻撃を受けた側は緑色の丸で国単位に示されます。時おり攻撃を受けた側に「APT」が表示され、高度な標的型攻撃を受けたことがわかります。過去30日で攻撃者が多かった国や、被害を受けた業種TOP5も表示されています。

警察庁セキュリティポータルサイト

警察庁セキュリティポータルサイトでは、全国の警察施設に設置されたセンサーで観測された不正侵入通信(攻撃手法別)と、外部からの通信(ポート、国)などの可視化しています。日本の警察は常にスキャン攻撃を受けており、とくにtelnet(23/tcp)が多いようです。発信元は中国やアメリカのほか、ロシア、韓国、メキシコ、ウクライナ、ブラジルが挙げられています。

JPCERT/CC TSUBAME(インターネット定点観測システム)

JPCERT/CC TSUBAME(インターネット定点観測システム)は、主にアジア・太平洋地域で、プロバイダとインターネットの境界上(IX)などにセンサーを複数配置し、セキュリティ上の脅威となるトラフィックを可視化します。国内外からのスキャンやワーム感染による通信のほか、日本が送受信対象ではない海外同士の動向も把握できます。プロトコル別、例えばICMP、FTP、SSHの、1週間/ 3か月/1年間のグラフを見ることができます。

NICTERWEB弐

NICTERWEB弐は、NICT 情報通信研究機構が観測しているダークネットトラフィックの可視化サイトです(※Flash Plug-inが必要)。ダークネットとは、実際の機器に割り当てされていない未使用のIPアドレス空間のことで、通常は通信が発生しませんが、マルウェアによるIPアドレス総当たり攻撃などを観測できます。「Atlas」画面では、日本への生々しい攻撃を3D世界地図上で見ることができます。アニメーションはパケット種類(TCPやUDPなど)で色分けされ、ポート番号に比例して軌道が高くなる表示になっています。

いかがでしょうか。平穏に思えるインターネットですが、これらネットワーク攻撃の可視化サイトをみると、我々は常に危険にさらされていることがわかります。次回からは、社内ネットワークに視点を移して解説します。

著者紹介


石川 堤一 (いしかわ ていいち)
キヤノンITソリューションズ 基盤セキュリティ企画センター マルウェアラボ マネージャー シニアセキュリティリサーチャー

約20年に渡りESET製品をはじめとした海外製品のローカライズ業務に携わり数多くの日本語版製品を世に送り出す。また、ウイルス感染やスパム対策、フィッシング被害のサポート業務にも従事。

現在はこれまでの経験を活かして、国内で確認された新しい脅威に対するレポートや注意喚起などの啓蒙活動や、キヤノンITソリューションズ運営の、より安全なインターネット活用のためのセキュリティ情報を提供する「マルウェア情報局」の記事執筆をするほか、マルウェア解析サービスのマネージャーとしても活動中。