2. 多様化する感染経路
• ファイル感染型
– exe, bat, doc, xls, etc…
• 電子メール添付型
– 電子メールの添付ファイルとして拡散
– 標的型攻撃
• リモートエクスプロイト型(ネットワーク感染型)
– インターネット上でスキャン→脆弱性攻撃→感染
– Code Red, Slammer, Blaster, etc…
• Web媒介型
– SQLインジェクションでWebコンテンツを改竄
– ブラウザの脆弱性を突いて感染
• P2P媒介型
– Winny, Shareネットワーク上で拡散
• リムーバブルメディア媒介型
– USBメモリの autorun.inf で自動起動して拡散
4. ネットワークモニタリングの今
• リアルネットモニタリング
– “点”防御のためのモニタリング
IDS (Intrusion Detection System)
IPS (Intrusion Prevention System)
WAF (Web Application Firewall) etc…
• ダークネットモニタリング
– “面”防御のためのモニタリング
6. ダークネット観測:3つのセンサ
• ブラックホールセンサ
– 無応答
– 運用コスト:低
大規模性
– センサ検出耐性:高
• 低インタラクションセンサ ブラックホール
センサ
– OSの脆弱性をエミュレートして応答
– 運用コスト:中 低インタラクション
センサ
– センサ検出耐性:低
高インタラクション
• 高インタラクションセンサ センサ
– 実マシンもしくはそれに準じた応答 情報の深度
– 運用コスト:高
– センサ検出耐性:中
7. ダークネット観測プロジェクト(海外)
• Network Telescope
– 米 CAIDA
– 16万アドレス以上のダークネットを観測
• Internet Motion Sensor (IMS)
– 米 ミシガン大
– 1700万アドレス以上の大規模ダークネットを観測
– TCP SYNパケットの一部にSYN-ACKを応答
[ Network Telescope ]
• Leurre.com
– 仏 Eurecom
– 世界各国に分散配置したハニーポットによる観測 [ Leurre.com ]
– センサ:Honeyd (v1.0) -> SGNET (v2.0)
• REN-ISAC
– 米 インディアナ大
– Internet2のダークネットトラフィックを観測
• Internet Storm Center (ISC)
– 米 SANS [ REN-ISAC ]
– 50万アドレス以上のファイアウォールログを収集
[ ISC ]
8. ダークネット観測プロジェクト(国内)
• ISDAS
– JPCERT/CC
• @police
– 警察庁
• MUSTAN
– IPA [ ISDAS ]
• WCLSCAN
– MRIほか [ @police ]
• nicter
– NICT
– 12万アドレス以上のダークネットを観測
– ダークネット観測の結果とマルウェア解析の
結果を突合
[ MUSTAN ]
[ WCLSCAN ]
9. /16ブラックホールセンサの観測結果
5,000,000 100,000
1日あたりのユニークホスト数
4,500,000 90,000
Total Number of Packets
Total Number of Unique Hosts
1日あたりのパケット数
4,000,000 80,000
3,500,000 70,000
3,000,000 60,000
2,500,000 50,000
2,000,000 40,000
1,500,000 30,000
1,000,000 20,000
平均パケット数: 約2,500,000
500,000 10,000
平均ユニークホスト数: 約32,000
0 0
9/1
9/6
9/11
9/16
9/21
9/26
10/1
10/6
10/11
10/16
10/21
10/26
10/31
11/5
11/10
11/15
11/20
11/25
11/30
Date (Sep - Nov, 2008)
10. MS08-067
• 2008年10月24日 Microsoft緊急セキュリティ情報
– 同日、セキュリティ更新プログラムをリリース
• Microsoft Server Service の脆弱性
– リモートからのバッファオーバーフローが可能
• W32.Downadup (W32/Conficker)
– MS08-067の脆弱性を利用(445/tcp)
– スキャン→エクスプロイト→コネクトバック
– スキャンの速度調整機能
– USBメモリ経由でも感染
10
11. 445/tcpの観測結果
600,000 4,000
Number of Packets
1日あたりのユニークホスト数
Number of Unique Hosts 3,500
500,000
1日あたりのパケット数
3,000
400,000
2,500
300,000 2,000
1,500
200,000
1,000
100,000 10/24 Windows
緊急アップデート 500
0 0
9/1
9/6
9/11
9/16
9/21
9/26
10/1
10/6
10/11
10/16
10/21
10/26
10/31
11/5
11/10
11/15
11/20
11/25
11/30
Date (Sep - Nov, 2008)
11
14. 1日あたりのユニークホスト数
0
500
1,000
1,500
2,000
2,500
3,000
3,500
9/1
9/6
9/11
9/16
9/21
9/26
10/1
Type B
10/6
10/11
10/16
Type A
10/21
Date (Sep - Nov, 2008)
10/26
10/31
11/5
11/10
11/15
11/20
11/25
11/30
スキャンタイプ別 ユニークホスト数(445/tcp)
15. スキャンタイプ別 パケット数(445/tcp)
600,000
500,000
1日あたりのパケット数
400,000
Type A
300,000
200,000
100,000
Type B
0
10/11
10/16
10/21
10/26
10/31
11/10
11/15
11/20
11/25
11/30
9/11
9/16
9/21
9/26
10/1
10/6
11/5
9/1
9/6
Date (Sep - Nov, 2008)
16. 重ね合わせると…
パケット数でもユニークホスト数でもDownadupが支配的
600,000
3,500
600,000 4,000
1日あたりのユニークホスト数
3,000 3,500
500,000
500,000
1日あたりのパケット数
3,000
2,500
400,000
400,000
2,500
2,000
300,000
300,000 2,000
1,500
1,500
200,000
200,000
1,000
1,000
100,000
100,000
500
500
0
0 0
10/11
10/16
10/21
10/26
11/10
11/15
11/20
11/25
10/31
11/30
9/16
9/21
9/26
10/1
9/11
10/6
11/5
9/1
9/6
9/1
9/6
9/11
9/16
9/21
9/26
10/1
10/6
10/11
10/16
10/21
10/26
10/31
11/5
11/10
11/15
11/20
11/25
11/30
Date (Sep - Nov, 2008)
17. ネットワークモニタリングのこれから (1/2)
• Downadupの教訓から
– もう起こらないと思われていた感染爆発再び
– 定常的ダークネットモニタリングはこれからも必須
– もっと迅速に、もっと正確に(観測カバレッジの拡張)
• “見てるだけ”から“原因追求”へ
– 445/tcpが増えました!! So what?
– 観測結果とその原因(マルウェア)との対応付け
• センサ間連携、センサ多様化
– ブラックホールセンサ、低/高インタラクションセンサの連携
– 標的型、Web媒介型、P2P媒介型マルウェアの観測
18. ネットワークモニタリングのこれから (2/2)
• モニタリング組織間の連携
– 現在は人手による情報共有が主
– 組織間の情報共有の自動化とメタ分析
• IPv6環境を先回り
– v6環境ではマルウェアのスキャンはなくなる!?
– 生きているv6アドレスリストは攻撃者の財産に?
• 研究コミュニティの醸成
– ネットワークモニタリング/分析の研究はデータが命
– 大規模かつ定常的データ収集がハードルに
– テストデータ提供機関の設立
