PR

 日本を狙ったサイバー攻撃が後を絶たない。情報通信研究機構(NICT)は2018年の1年間で、攻撃あるいは調査(スキャン)目的と思われるパケットを2000億個以上観測したという。

 IPアドレス1つ当たりに送られてくる攻撃や調査のパケットも年々増加している。2005年は2万個弱だったのに対して、2018年は80万個弱に増えた(図1)。

図1●IPアドレス1つ当たりの年間観測パケット数
図1●IPアドレス1つ当たりの年間観測パケット数
Pアドレス1つ当たりに送られてきた攻撃あるいは調査目的と思われるパケットの数の推移。情報通信研究機構(NICT)による観測データを基に作成。
[画像のクリックで拡大表示]

 こういった膨大な量の攻撃の観測を可能にしているのが、NICTが2005年から続けているNICTERプロジェクトと呼ばれる研究プロジェクトである。

未使用アドレスで攻撃を捕捉

 NICTERプロジェクトを開始したきっかけは、2003年8月に発生したBlasterの大規模感染である。NICTERプロジェクトでは、ダークネットを使って、怪しい通信を観測している。ダークネットとは、企業や組織に割り当てられているものの、実際には使われていないIPアドレス群のこと(図2)。

図2●ダークネットを利用した、サイバー攻撃の検出イメージ
図2●ダークネットを利用した、サイバー攻撃の検出イメージ
ダークネットとは未使用のIPアドレス群。使われていないIPアドレスへの通信は、不特定多数のコンピューターを対象にしたサイバー攻撃や調査である可能性が高い。
[画像のクリックで拡大表示]

 使われていないIPアドレスなので、正常な通信が届くことはまずない。ダークネットへの通信は、感染拡大を目的としたウイルスによる通信や、調査目的の通信である可能性が高い。

 ダークネットに届いたパケットの送信元に関する情報や宛先のポート番号、パケットの内容などを分析することにより、サイバー攻撃の兆候を見つけたり、傾向などを把握したりする。

▼NICT
National Institute of Information and Communications Technologyの略。
▼NICTERプロジェクト
NICTERはNetwork Incident analysis Center for Tactical Emergency Responseの略。
▼Blaster
Windowsの脆弱性を突いて感染を広げるウイルス(マルウエア)。米マイクロソフトによれば、800万台以上のコンピューターが感染したという。