ニュース

NICT、サイバー攻撃を模擬環境に誘引して長期観測を可能にする「STARDUST」を開発

 国立研究開発法人情報通信研究機構(NICT)のサイバーセキュリティ研究室は5月31日、標的型攻撃などのサイバー攻撃対策として、模擬環境に攻撃者を誘い込むことで長期挙動分析を可能にするサイバー攻撃誘引基盤「STARDUST」を開発したと発表した。

 標的型攻撃に代表される政府や企業などの組織を狙ったサイバー攻撃では、組織への初期侵入に際し、メールなどに添付されたマルウェアが使用され、侵入後は感染したマルウェアがバックドアとして使われ、攻撃者による手動の攻撃活動が組織のネットワーク内部で進められる。そのため、標的型攻撃に用いられるマルウェアを解析するだけでは、組織への初期侵入という表層的な情報しか得られないという課題があった。

 そこでNICTでは、標的的型攻撃などの攻撃者を誘い込み、その攻撃活動を長期観測することを可能にするSTARDUSTを開発。STARDUSTは、政府や企業などの組織を精巧に模擬したネットワークである「並行ネットワーク」を数時間程度で構築可能。並行ネットワーク上では、ウェブサーバーやメールサーバー、ファイルサーバー、DNSサーバー、認証サーバー、プロキシサーバーなどの各種サーバーや、数十台~数百台のPCが実稼働し、さらに、サーバーやPCには組織の情報資産を模した模擬情報が配置され、あたかも実在の組織のように振る舞う。

「STARDUST」のイメージ図

 並行ネットワーク上のPC「模擬ノード」で標的型攻撃に用いられるマルウェア検体を実行すると、マルウェアが設けたバックドアを経由して攻撃者が外部から接続を試み、攻撃者が調査行為や感染拡大行為、情報窃取などを試みる。STARDUSTは、こうした攻撃者の挙動を、攻撃者には察知できないステルス性の高い手法で観測し、リアルタイムの挙動観測・分析を可能にする。これにより、標的型攻撃の実データセットを作り出し、対策技術の研究開発を大きく進展させることが期待できるとしている。

 STARDUSTはNICTに加えて、株式会社富士通研究所、株式会社サイバーディフェンス研究所、株式会社セキュアブレイン、株式会社ニッシン、株式会社日立製作所、株式会社日立システムズ、日本電信電話株式会社 NTTセキュアプラットフォーム研究所、エヌ・ティ・ティ・アドバンステクノロジ株式会社の研究者、技術者、解析者の協力を得て、研究開発を進めている。

 NICTでは今後、STARDUSTによる攻撃誘引の結果を標的型攻撃対策技術の研究開発に活用するとともに、セキュリティ関連組織等と適宜共有し、日本のセキュリティ向上に貢献していくと説明。STARDUST上の並行ネットワークは複数同時並行で稼働させることが可能で、セキュリティ関連組織の分析活動におけるSTARDUSTの活用を進めていくとしている。

 また、STARDUSTについては、6月7日~9日に幕張メッセで開催される「Interop Tokyo 2017」で動態展示を行う。