衝撃！これがボットネットだ！

図3（上）の動画は、ボットネットからnicterの観測ネットワークへスキャン攻撃が行われている様子を世界地図可視化エンジンで表示したものである。

動画の開始数秒後から一斉に青い円錐形（TCP SYNパケット）が日本へ向けて発射されるのが確認できるだろうか。このボットネットは「sdbot」と呼ばれるボットに感染したホストが形成したネットワークである。nicterでは10分あたりで約4,000台のユニークな攻撃元ホストを確認し、このスキャン攻撃は4時間以上続いた。驚くべき点は、これだけ大量のパケットが見えるにもかかわらず、個々の攻撃元ホストから送信されるパケット数は、ほんの2、3個であったことである。

つまり攻撃元のホストは、ごく少数のパケットしか送信しないため、IDSやIPSに検知されにくく、秘密裏にスキャン攻撃を成功させることが可能というわけである。これはボットネットが数万台の感染ホストを擁しているからこそ実現する手法である。

しかし、例えこのような攻撃であっても、nicterの可視化エンジンを用いれば、攻撃を受けていることを視覚的に検知することができるため、他の分析エンジンやIDSなどの既存技術と併用することで、より精度の高いインシデント検知を行うことができる。

続いて図3（上）と同じ「sdbot」からの攻撃を、今度はnicterの三次元可視化エンジンで見てみよう。図3（下）を見てほしい。

三次元可視化エンジンでは、立方体の左側に攻撃者のネットワーク、右側にnicterの監視ネットワークを展開している。また、左右各平面の縦軸はIPアドレス、横軸（奥行き軸）は、ポート番号を示している。このようなルールに従って「sdbot」からの攻撃を表示した場合、図3のような様子を見ることができる。

残念ながら動画の解像度の都合上、文字が見えにくくなっているが、青い矩形状の物体（TCP SYN パケット）が画面左側から右側へ大量に流れているのが見えるだろうか。この画面から、大半の攻撃パケットがnicter観測ネットワークのTCP 445番ポートに集中していることがわかるが、これはsdbotが持つ特徴である。

このように三次元可視化エンジンでは、攻撃の前段階で行われるスキャンの挙動が特徴的な形状として表現されるため、インシデント判定や各種の詳細分析を開始するためのきっかけとして役立てることができる。

今後の取り組み

インシデント対策センターnicterの紹介は以上である。

このシステムの一部は、2007年6月に幕張メッセにおいて開催されたネットワーク関連機器の展示会「Interop 2007 ShowNet」において、試験的に運用された。膨大なトラフィックが集中する同イベントのネットワークにおいて、インシデント検出と可視化処理が十分に機能することを証明し、来場者およびネットワーク運用者の大きな反響を得た。

今後は一部開発途上の機能、特にミクロ-マクロの相関分析システムやマルウェア検体収集技術などを向上させ、nicterをシステム全体として有効に機能させるべく研究に取り組んでいく予定である。

さて、本連載では新世代ネットワークの要素技術について5回にわたって紹介してきた。それぞれ実用に向けて現在着々と研究が行われている技術だが、数年先にはネットワークの基盤技術として普及が進むことであろう。Think ITでは今後も新世代ネットワークの動向に注目し、いち早くその情報をお伝えしていくので、楽しみにしていてほしい。 タイトルへ戻る