Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

疑似環境でサイバー攻撃者を泳がせ、挙動解析する「STARDUST」を開発 - NICT

情報通信研究機構(NICT)は、攻撃対象とする組織の疑似ネットワーク環境へ攻撃者を誘い込み、侵入後の攻撃活動を監視、分析するための研究基盤「STARDUST」を開発した。

同研究基盤は、政府や企業など組織のネットワークに見せかけた疑似環境へ攻撃者を誘い込み、挙動を監視、解析するためのシステム。

実環境へ疑似ネットワークをVPNと多段NATを組み合わせたネットワーク機器で接続することで、実環境と同じIPアドレスを偽装。さらに疑似ネットワーク上では、模擬環境構築システム「Alfons」により、サーバや数十台から数百台規模の端末を稼働させ、偽の情報資産なども配置。実在する組織のように振る舞うことが可能。疑似環境は数時間ほどで構築できるという。

攻撃活動の分析にあたっては、同基盤の模擬端末上でマルウェアを実行。バックドアよりマルウェアを外部と接続させ、攻撃者に疑似ネットワーク内部の調査や感染活動、情報窃取などを行わせる。

攻撃活動の観察は、攻撃者に察知されないよう、L7トラフィックの解析基盤である「SF-TAP」を活用。ネットワークの外側からパケットを観測することで、長期間にわたる挙動の観測、分析が可能であるとしている。

組織の機微情報や不利益となる情報が含まれることから、標的型攻撃の被害者より、攻撃者が展開した活動内容について公開されることは少ないことから、今後は同システムの運用によって攻撃活動のデータを蓄積。対策技術の研究開発に活かすほか、セキュリティ関連組織などとも情報を共有していくという。

20170531_ni_001.jpg
「STARDUST」の動作イメージ(画像:NICT)

(Security NEXT - 2017/05/31 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

擬似フィッシング攻撃によるトレーニングサービスをバージョンアップ - ソフォス
同一PDFファイルに「Acrobat/Reader」と「Windows」のゼロデイ脆弱性 - 併用で高い攻撃力
「CSVファイルは安全」という先入観につけ込む標的型攻撃
2018年1Qの「標的型攻撃メール」は101件 - 標的の8割がプラント関係者
医療業界やサプライチェーン狙う攻撃グループを確認 - 標的はレガシーシステムか
北朝鮮悪用のFlash脆弱性、広く悪用される状態に - 海外中心に攻撃が拡大、国内でも
研究者が注目した「10大脅威」、具体的な手口や対策は? - IPAが解説資料
「不正ログイン対策」や「家庭用IoT機器のセキュリティ」学ぶ動画
総務省、「テレワークセキュリティガイドライン」改正案でパブコメ
「添付ファイルでマルウェア感染?」「PCの動作が変?」 - まずは調査を