サイバー攻撃を偽装環境に誘引する攻撃誘引基盤「STARDUST」とは？：5分で分かる最新キーワード解説（3/3 ページ）

「STARDUST」の意義と可能性

　標的型攻撃と一部同様の手口がランサムウェア（最近では「WannaCry」の大規模感染があった）などにも利用されるようになっており、マルウェア侵入後の攻撃の詳細を明らかにすることは、これからのセキュリティ研究開発の要になる。単に攻撃ツールの機能を解析するだけでなく、攻撃者が何をもくろみ、どのように行動するのかを解析、予見できるようにする必要がある。「STARDUST」はなかなか外部に出て来ない攻撃のデータセットを収集することに大きな意義がある。直接的な組織防衛のためというより、セキュリティ技術や対策手法の高度化を目指すために有効な基盤として捉えるべきだろう。

　例えば中国のサイバー犯罪集団「DragonOK」グループは、標的型攻撃の攻撃パターンから存在が割り出された一例だが、「STARDUST」ならもっと早く攻撃パターンを抽出して攻撃グループを推定できるかもしれない。また類似した組織への攻撃パターンから予防対策を用意できる可能性もある。

　ちなみに、標的型攻撃は「技術的に高度」「不用意なネットワークスキャンはしない」「慎重に行われる」などの通説があるが、「STARDUST」運用ではそれら通説に反する事実が確認されているという。攻撃を主謀するボスは高度技術が使えるかもしれないが、遠隔操作に当たる末端の手下は、ごく一般的なコマンドを、特段の注意もせずに使用していて、必ずしも高度な手口を熟知しているとはいえないそうだ。このような事実が分かるのも攻撃者を自由に泳がさせて観測できる並行ネットワークあればこそだろう。

関連するキーワード

NICTサイバーセキュリティ研究所

　 NICTのサイバーセキュリティ研究部門であり、サイバーセキュリティ技術とセキュリティ検証プラットフォーム構築活用技術の研究開発を行っている。

「STARDUST」との関連は？

　同研究所の井上大介室長が主導し津田侑研究員が開発実務にあたったのが「STARDUST」。同研究室はこれまでに、ダークネット監視による無差別攻撃検知を行うインシデント分析センター「NICTER（ニクター）」、その情報をもとにしてサイバー攻撃アラートを行う「DAEDALUS（ダイダロス）」、ネットワークを可視化した上、各種セキュリティ機器からのアラートを統合分析するプラットフォーム「NIRVANA改（ニルヴァーナ・カイ）」などのプラットフォームを開発してきた。これまでの成果が攻撃に対してパッシブなものであったのに対し、「STARDUST」は攻撃を呼び込んで分析可能にするアクティブなものになっている。

Alfons

　 NICTの北陸StarBED技術センターが開発した模倣環境構築システム。NICTのサイバー攻撃演習用の模擬環境構築にも利用されている。

「STARDUST」との関連は？

　仮想環境の迅速な構築にはChefなどの自動構築ツールが使われることがあるが、AlfonsはテンプレートとなるOSディスクイメージに個々のノードの差分となる実行バイナリや設定ファイル、ドキュメントファイルなどのコンテンツを挿入して模擬環境を作りあげる仕組みを採用している。Chefなどのように構築のための処理を記述する手間がない上、仮想マシン上に構築ログなどを残さず、攻撃者が仮想環境であることに気付きにくい。

SF-TAP（Scalable and Flexible Traffic Analysis Platform）

　 NICTが開発したアプリケーションレベルでのトラフィック解析基盤。これまでに、DNS Amp攻撃に使われたDNSオープンリゾルバの実態調査研究やサードパーティーWebトラッキング実態調査研究などに応用されている。

「STARDUST」との関連は？

　攻撃者が察知できない並行ネットワークの外側から、攻撃者が送受信したパケットを観測し、通信内容を高速に再構成・分析するために応用された。